Facebook Umów
jazdę
Kontakt

Rodo

UCHWAŁA ZARZĄDU  Nr 1/05/18

Wielicka spółka z ograniczoną odpowiedzialnością

z siedzibą w Krakowie

z dnia 17 maja 2018

w sprawie wprowadzenia do stosowania  „Polityki bezpieczeństwa oraz „Instrukcji zarządzania systemem  informatycznym” w  Wielicka spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie

Na podstawie art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, art. 20 rozporządzenia Rady Ministrów z dnia 14 października 2016 r. zmieniające rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji  w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 poz. 1744)  – z a r z ą d z a  się,  co następuje: 

           § 1. Wprowadza się do stosowania w Wielicka spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie „Politykę bezpieczeństwa” stanowiącą załącznik Nr 1 do niniejszego zarządzenia oraz „Instrukcji zarzadzania systemem informatycznym” stanowiącą załącznik Nr 2 do niniejszego zarządzenia  w celu prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych w tym środków technicznych  i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, kategorii danych objętych ochroną, podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz   wymagań w  zakresie odnotowywania, udostępniania danych osobowych i  przetwarzania danych osobowych.

§ 2. Uwzględniając kategorie danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną, wprowadza się „poziom wysoki” bezpieczeństwa systemu informatycznego 

§ 3. Uchwała wchodzi w życie z dniem wydania z mocą obowiązującą od 25 maja 2018 r.

Załącznik Nr 1 do Uchwały Nr 1/05/18

Wielicka spółka z ograniczoną odpowiedzialnością

z siedzibą w Krakowie

z dnia 17 maja 2018 r.

Polityka bezpieczeństwa

przetwarzania danych osobowych

w

Wielicka 

Spółka z ograniczoną odpowiedzialnością

z siedzibą w Krakowie

Rozdział I

Zagadnienia wstępne

§ 1. 1.„Polityka bezpieczeństwa” przetwarzania danych osobowych zwana dalej „Polityką”, zawiera 

zasady przetwarzania danych osobowych oraz zabezpieczenia techniczne i organizacyjne zarówno zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych, które mają zapewnić poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność, niezawodność ochrony danych osobowych w Wielicka spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie zwaną dalej Wielicka.

§ 2. 1. Definicje w „Polityce” oznaczają:

  1. Administrator Danych Osobowych, zwany dalej „ADO” – Wielicka spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (30-552) przy ul. Wielickiej 119, wpisanej do Rejestru Przedsiębiorców KRS przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 000273824, REGON 120413226, NIP 6792921893
  2. autentyczność – zapewnieniu, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),
  3. bezpieczeństwo przetwarzania danych osobowych  –  zachowanie poufności, integralności i rozliczalności danych osobowych, mogą być również brane pod uwagę inne własności, takie jak dostępność, autentyczność, niezaprzeczalność i niezawodność; 
  4. dane osobowe  –  każda informacja dotycząca żyjącej osoby fizycznej, która pozwala na bezpośrednią lub pośrednią identyfikacje tej osoby;
  5. PODO –Prezes Urzędu Ochrony Danych Osobowych; 
  6. integralność danych– właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany; 
  7. dostępność – zapewnieniu bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,
  8. naruszenie ochrony danych osobowych – zamierzone lub przypadkowe naruszenie środków   technicznych i organizacyjnych zastosowanych w celu ochrony danych osobowych w szczególności, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszanie ochrony danych osobowych; 
  9. niezaprzeczalność – braku możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;
  10. niezawodność – zapewnieniu spójności oraz zamierzonych zachowań i skutków;
  11. poufność – właściwość zapewniająca, że informacja (np. dane osobowe) jest dostępna tylko osobom upoważnionym;
  12. przetwarzanie danych osobowych  –  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie                              i usuwanie, przede wszystkim te, które wykonuje się w systemach informatycznych; 
  13. rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; 
  14. system informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
  15. system tradycyjny – dokumentacja w wersji papierowej w szczególności  w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego;
  16. ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych 
  17. użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym, która posiada ustalony identyfikator i hasło; 
  18. użytkownik zewnętrzny – osoba nie będącą pracownikiem posiadającą uprawnienia do przetwarzania danych na podstawie „Polityki”;
  19. właściciel zasobów danych osobowych – osoba kierująca komórką organizacyjną, odpowiedzialna za ochronę danych osobowych przetwarzanych w podległej komórce organizacyjnej;
  20. zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie; 
  21. dokumenty powiązane – odrębne dokumenty dotyczące bezpieczeństwa ochrony danych powiązane z „Polityką” oraz „Instrukcją zarządzania systemem informatycznym”, np. „Instrukcja obsługi producentów sprzętu i używanych programów”; 
  22. serwisant – firma lub pracownik firmy zajmującej się sprzedażą, instalacją, naprawą i konserwacją sprzętu komputerowego;
  23. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE 

2. Celem Polityki jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.       

3. Polityka zawiera:

  1. mechanizmy umożliwiające współużytkowanie informacji; 
  2. strukturę wyznaczania celów stosowania zabezpieczeń, w tym strukturę szacowania 

i zarządzania ryzykiem; 

  1. zasady, normy i wymagania zgodności mających szczególne znaczenie zawierające: 
  1. zgodność z prawem, regulacjami wewnętrznymi i wymaganiami wynikającymi z umów; 
  2. wymagania dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa; 
  3. zarządzanie ciągłością działania :
  4. konsekwencje naruszenia „Polityki bezpieczeństwa”; 

5) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania incydentów związanych z bezpieczeństwem informacji; 

6) przestrzegania przez użytkowników zasad bezpieczeństwa. 

4. Zasady określone w „Polityce” oraz w dokumentach powiązanych powinny być znane i stosowane przez pracowników bez względu na zajmowane stanowisko, miejsce wykonywanej pracy, charakter stosunku pracy oraz w niezbędnym zakresie przez współpracowników przetwarzających dane osobowe. których Administratorem Danych Osobowych jest  Wielicka sp. z o.o. z siedzibą w Krakowie.

§ 3. 1. Na Politykę bezpieczeństwa składają  się:

  1. Ewidencja osób upoważnionych do przetwarzania danych osobowych (Zał. Nr 1),
  2. Wzór zgłoszenia incydentu naruszenia danych (Zał. Nr 2),
  3. Wzór Klauzuli Informacyjnej (Zał. Nr 3),
  4. Oświadczenia:
  1. o zachowaniu poufności  (Zał.  Nr 4 )
  2. oświadczenia o przeszkoleniu z zakresu ochrony danych osobowych (Zał. Nr 5)
  1. Upoważnienie do przetwarzania danych osobowych (zał. Nr 6)
  2. Rejestry:
  1. jawnych zbiorów danych osobowych (zał. nr 7)
  2. ogólny zbiorów przetwarzanych danych (Zał. Nr 8). 
  3. o przeszkoleniu z zakresu ochrony danych osobowych (Zał. Nr 9).
  4. oświadczeń o zachowaniu poufności (Zał. Nr 10).
  5. udostępnień danych osobowych osobom, których dotyczą (Wzór Nr 11).
  6. udostępnień danych osobowych innym podmiotom (Zał. Nr 12).
  7. podmiotów z którymi zawarto umowy powierzenia przetwarzania danych osobowych 

     (Zał. Nr 13)

  1. budynków i pomieszczeń lub części pomieszczeń, tworzących obszar, w którym

przetwarzane są dane osobowe (Zał. Nr 14).

  1. pobierania i zdawania kluczy do pomieszczeń, w których są przechowywane i przetwarzane dane osobowe w wersji papierowej i elektronicznej (Zał. Nr 15).
  1. Inwentaryzacja zbiorów danych osobowych (Zał. Nr 16)
  2. Wykaz programów zastosowanych do przetwarzania danych osobowych (zał. nr 17)
  3. przetwarzania tych danych Oryginały i kopie dokumentów dotyczących ochrony danych osobowych (w tym kopie wniosków

o rejestrację/aktualizacje zbiorów danych osobowych do GIODO.

9)   Protokoły z przeprowadzonych kontroli zewnętrznych w zakresie ochrony danych osobowych.

10) Dokumentacja dotyczą przeprowadzenia audytu wewnętrznego w sprawie ochrony danych osobowych, w tym m.in. powołanie komisji audytu, Kwestionariusz audytu, protokół 

 z przeprowadzonego audytu. 

11)  Plany archiwizacji danych osobowych i programów służących do ich przetwarzania. 

§ 4. 1. „Polityka” oraz dokumenty z nią powiązane powinna być aktualizowana na bieżąco

wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych. 

2. Przegląd „Polityki” ma na celu stwierdzenie, czy zawarte w niej postanowienia odpowiadają aktualnej

i planowanej działalności  w Wielicka sp. z o.o.

3. Fakty wystąpienia poważnych naruszeń ochrony danych osobowych powinny skutkować zmianami

w „Polityce” i dokumentach powiązanych. 

§ 5. 1. W celu zwiększenia skuteczności ochrony danych osobowych ADO stosuje następujące założenia: 

  1. Przeszkolenie pracowników dopuszczonych do przetwarzania danych w zakresie 

bezpieczeństwa danych osobowych;

  1. Przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację

w systemach informatycznych (np. hasła, identyfikatory), umożliwiających im dostęp 

do danych osobowych – stosownie do zakresu upoważnienia i indywidualnych poziomów uprawnień; 

3) Okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych; 

4) Podejmowanie niezbędnych działań, w celu likwidacji słabych ogniw w systemie ochrony danych osobowych. 

5) Śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych i w miarę możliwości organizacyjnych i techniczno-finansowych- wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, służącym wzmocnieniu bezpieczeństwa przetwarzanych danych osobowych. 

2. Na każdym etapie przetwarzania danych osobowych należy brać pod uwagę, w niezbędnym zakresie, integralność, poufność oraz rozliczalność dla przetwarzanych danych osobowych. 

3. ADO powinien być pewny, że pracownicy, wykonawcy oraz użytkownicy zewnętrzni: 

1) przed przystąpieniem do pracy są odpowiednio wprowadzani w zakres obowiązków   

związanych z odpowiedzialnością przestrzegania ochrony danych osobowych przy przetwarzaniu danych;

2)  Wypełniają zalecenia i warunki zatrudnienia, które uwzględniają zasady ochrony danych 

osobowych. 

3)  W sposób ciągły utrzymują odpowiednie umiejętności i kwalifikacje. 

4. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca dane
w zakresie zgodnym z zakresem upoważnienia, kompetencjami lub rolą sprawowaną w procesie przetwarzania danych. 

Rozdział II

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  1. Zakres działań Administratora Danych

§ 6. 1. ADO oświadcza, iż dołoży wszelkich starań celem zapewnienia bezpieczeństwa informacji; 

2. Szczegółowy zakres obowiązków i procedur postępowania ADO w zakresie 

1)  Systemu Zarządzania Bezpieczeństwem Informacji – w zastosowaniu praktyki codziennej

  1. Instruktaże wstępne dla nowozatrudnionych, szkolenia okresowe
  2. Okresowe sprawdziany wiedzy pracowników
  3. Monitorowanie przestrzegania zasad przez pracowników
  4. Analiza raportów z systemów bezpieczeństwa IT 
  5. Monitoringi umów z dostawcami produktów i usług 
  6. Monitoringi zarządzania podatnościami technicznymi
  7. Analiza incydentów
  8. Przeglądy zarządzania

2) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a)  monitorowanie dostępu do informacji,

b)  czynności zmierzające do wykrycia nieautoryzowanych działań związanych

z przetwarzaniem informacji,

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

3) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym 

i pracy na odległość;

4) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

5) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

6) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

7)  zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, 

polegającego w szczególności na:

a)  dbałości o aktualizację oprogramowania,

b)  minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c)  ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e)  zapewnieniu bezpieczeństwa plików systemowych,

f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

 8)  bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony 

i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 

4. System informatyczny połączony jest z siecią publiczną, w związku z czym należy stosować wysoki poziom bezpieczeństwa przetwarzania danych osobowych.

§ 7. 1. ADO zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed 

ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.  

  1. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych; 
  2. ADO zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane; 
  3. Wymóg dotyczącym zabezpieczenia przetwarzanych danych, odnosi się nie tylko do kwestii bezpieczeństwa, ale również – odpowiednich funkcjonalności przyjętego systemu przetwarzania. (Funkcjonalność wynika z potrzeby zapewnienia bezpieczeństwa danych, oraz z konieczności zapewnienia określonych właściwości oraz warunków umożliwiających ADO realizację zobowiązań wobec podmiotów danych wynikający rozporządzenia). 
  4. Wymagane obowiązki mają zastosowanie m.in. do zapewnienia i udostępniania na żądanie osoby, której dane są przetwarzane informacji o:
  1. dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych;
  2. źródle, z którego pochodzą dane jej dotyczące, chyba że ADO jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej;
  3. sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
  4. sposobie, w jaki zebrano dane.

§ 8. 1. ADO odpowiedzialny jest za przetwarzanie i ochronę danych osobowych zgodnie z przepisami prawa, w tym wprowadzenie do stosowania procedur postępowania zapewniających prawidłowe przetwarzanie danych osobowych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem rozporządzenia oraz utratą, uszkodzeniem lub zniszczeniem. 

2. Do kompetencji ADO w szczególności należy: 

  1. Wyznaczenie Inspektor Ochrony Danych; 
  2. Wyznaczenie ASI;
  3. Wyznaczanie właścicieli zasobów danych osobowych; 
  4. Określenie celów i strategii ochrony danych osobowych; 
  5. Podział zadań i obowiązków związanych z organizacją ochrony danych osobowych. 

3. Do obowiązków ADO należy: 

  1. Zapewnienie szkoleń dla pracowników w zakresie przepisów o ochronie danych osobowych 

oraz zagrożeń związanych z ich przetwarzaniem; 

  1. Przyjmowanie i zatwierdzanie niezbędnych, wymaganych przez przepisy prawa dokumentów

regulujących ochronę danych osobowych w Wielicka sp. z o.o. z siedzibą w Krakowie;

  1. Nadawanie upoważnień użytkownikom wewnętrznym i zewnętrznym do przetwarzania danych osobowych; 
  2. Sporządzanie umów powierzenia przetwarzania danych osobowych;
  3. Zapewnienie środków finansowych na ochronę fizyczną pomieszczeń, w których 

przetwarzane są dane osobowe; 

  1. Zapewnienie środków finansowych niezbędnych do ochrony danych osobowych przetwarzanych

w systemie tradycyjnym oraz w systemach informatycznych; 

  1. Zapewnienie środków finansowych na merytoryczne przygotowanie osób odpowiedzialnych                           za nadzór nad ochroną danych osobowych.

   § 9. 1. W zakresie wykonywania obowiązków ADO zapewni:

  1. możliwość dostępu do wszelkich obszarów fizycznych przetwarzania danych osobowych i systemów informatycznych przetwarzających dane osobowe
  2. środki i organizacyjną odrębność IDO niezbędne do niezależnego wykonywania zadań powierzonych zadań
  3. właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych.
  4. zasoby niezbędne do wykonania zadań oraz dostęp do danych osobowych i operacji przetwarzania, 
  1. Zakres ochrony przetwarzania danych osobowych przez użytkowników

§ 10.1. ADO może wyznaczyć właścicieli zasobów danych osobowych, którzy są odpowiedzialni za ochronę przypisanych i przetwarzanych zbiorów danych osobowych w podległej komórce organizacyjnej. 

2. Do kompetencji właścicieli zasobów danych osobowych należy: 

1) Określanie celów w jakich mają być przetwarzane dane osobowe, zakresu oraz czasu trwania przetwarzania danych osobowych; 

2) Określenie sposobu przetwarzania danych osobowych (czy w systemach informatycznych, 

czy w zbiorach nieinformatycznych); 

3) Ustalenie, czy dane przetwarzane dla określonego celu mają mieć charakter poufny. 

3. Do obowiązków właścicieli zasobów danych osobowych należy: 

1) Zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych 

osobowych do chwili ich usunięcia; 

  1. Zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych 

przetwarzanych w określonym przez nich celu; 

  1. Realizację obowiązku informowania o przetwarzaniu danych osobowych osób, których dane 

osobowe są pozyskiwane; 

  1. Zapewnienie na żądanie uprawnionych osób, udostępnianie informacji o przetwarzanych 

danych osobowych oraz podmiotach, którym zostały one udostępnione; 

  1. Zapewnienie złożenia przez pracowników oświadczenia o znajomości przepisów o ochronie danych osobowych oraz zobowiązania do zachowania w tajemnicy danych osobowych oraz informacji na temat zabezpieczania danych osobowych;

7) Zapewnienie uzyskania przez pracowników przetwarzających dane osobowe, formalnego 

upoważnienia do przetwarzania danych osobowych; 

8) W przypadku utworzenia nowego zbioru danych osobowych ustalenie, kogo dotyczą dane 

osobowe, jaki jest ich zakres (np. imię i nazwisko, adres zamieszkania, NIP, PESEL itp.), cel 

przetwarzania oraz komu dane osobowe mają być udostępniane. Wszystkie te informacje 

powinny zostać przekazane do Administratora Bezpieczeństwa Informacji oraz Administrator

a Systemu Informatycznego; 

   9)  Wnioskowanie do Administratora Danych Osobowych o nadanie upoważnień dla pracowników 

podległej komórki organizacyjnej; 

§ 11.1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać 

przeszkolony przez ADO. 

2. Szkolenie powinno obejmować następujące zagadnienia: 

1)  Przepisy o ochronie danych osobowych. 

2)  Zasady przetwarzania danych osobowych. 

3)  Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach 

informatycznych .

4)   Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych

 osobowych. 

  1. Zagrożenia na jakie może być narażone przetwarzanie danych osobowych, a w szczególności 

 te związane z przetwarzaniem danych osobowych w systemach informatycznych. 

6)  Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe. 

7)  Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu 

informatycznego. 

8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych. 

3. Szkolenia powinny być powtarzane okresowo lub na żądanie. 

4. Użytkownicy reprezentujący osoby trzecie (tam, gdzie jest to wskazane) powinni przechodzić przeszkolenie w zakresie: 

  1. Odpowiednich zasad ochrony danych osobowych w systemie tradycyjnym wynikający z Polityki. 
  2. Odpowiednich procedur dotyczących bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych. 
  3. Poprawnego użytkowania urządzeń i systemów informatycznych służących do przetwarzania danych osobowych. 

§ 12. 1. Przetwarzanie danych osobowych jest możliwe wyłącznie przez otrzymanie, przez pracownika formalnego upoważnienia do przetwarzania danych osobowych zaakceptowanego przez ADO: 

  1. Zapoznaje użytkownika z przepisami dotyczącymi ochrony danych osobowych oraz uregulowaniami wewnętrznymi obowiązującymi w tym zakresie pracownika do przetwarzania danych osobowych .
  2. Upoważnia użytkownika do przetwarzania danych osobowych, wydając użytkownikowi w dwóch egz. stosowne upoważnienia do przetwarzania przez użytkownika danych osobowych                              w poszczególnych zbiorach, w tym:
  1.  1 egz. Upoważnienia rejestruje się w Ewidencji osób upoważnionych do przetwarzania
    1. danych osobowych; 
  2.  2-gi egz. Upoważnienia otrzymuje użytkownik. 
  3. Przyjmuje od użytkownika podpisane oświadczenie o  znajomości Polityki i „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych” oraz o zachowaniu w tajemnicy danych osobowych, sposobu ich zabezpieczania, przetwarzania danych osobowych zgodnie z przepisami rozporządzenia; 

2. Upoważnienia i Oświadczenie, o których mowa w ust. 1 pkt. 2 i 3 przechowuje się w aktach osobowych użytkownika.

§ 13. 1.Osoby upoważnione do przetwarzania danych osobowych powinny być wpisywane 

do ewidencji osób upoważnionych.

 2. Jakakolwiek zmiana w zakresie informacji zawartych w ewidencji powinna podlegać natychmiastowemu odnotowaniu. 

3. Właściciele zasobów danych osobowych, odpowiadają za natychmiastowe zgłoszenie do ADO osób, które utraciły uprawnienia dostępu do danych osobowych. 

4. ADO w oparciu o informacje, o których mowa w ust. 3 powinien podjąć działania, których celem jest uniemożliwienie tym osobom dostępu do danych osobowych i wyrejestrować z ewidencji, o której mowa w ust. 1. 

§ 14. 1.  Poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela 

się konta opatrzone niepowtarzalnym identyfikatorem, umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania. 

2. ADO, lub w wypadku powołania ASI, po uprzednim przedłożeniu upoważnienia do przetwarzania danych osobowych, zawierającego odpowiedni wniosek pracownika kadr, przydziela pracownikowi upoważnionemu do przetwarzania danych konto  w systemie informatycznym, dostępne po wprowadzeniu prawidłowego identyfikatora 

i uwierzytelnieniu hasłem. 

3. System wymusza zmianę hasła przy pierwszym logowaniu. 

4. ADO może przydzielić konto opatrzone identyfikatorem osobie upoważnionej do przetwarzania danych osobowych, nieposiadającej statusu pracownika.

5. Pierwsze hasło wymagane do uwierzytelnienia się w systemie przydzielane jest przez ADO po odebraniu od osoby upoważnionej do przetwarzania danych oświadczenia zawierającego zobowiązanie do zachowania w tajemnicy pierwszego i następnych haseł oraz potwierdzenie odbioru pierwszego hasła.

6. Do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. właściwego korzystania z baz danych, używania tylko własnego identyfikatora i hasła oraz stosowania się do zaleceń  ADO.

  1. Odpowiedzialność pracowników w zakresie ochrony danych osobowych

§ 15. 1.  Niezastosowanie się do wprowadzonej Polityki oraz naruszenia procedur ochrony danych 

przez pracowników upoważnionych do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia na podstawie art. 52 § 1 Kodeksu pracy.

2. Niezależnie od rozwiązania stosunku pracy osoby popełniające przestępstwo mogą być pociągane do odpowiedzialności karnej zwłaszcza na podstawie art. 107 ustawy oraz art. 266 Kodeksu karnego, m.in. przestępstwo można popełnić wskutek:

1) stworzenia możliwości dostępu do danych osobowych osobom nieupoważnionym albo osobie 

nieupoważnionej, np. zastępstwa;

2) niezabezpieczenia nośnika lub komputera przenośnego przed dostępem osób upoważnionych;

3) zapoznania się z hasłem innego pracownika wskutek wykonania nieuprawnionych operacji 

w systemie informatycznym administratora danych;

  1. pozostawienia osoby nieupoważnionej w pomieszczeniu biurowym;
  2. pozostawiania po godzinach pracy w pomieszczeniach biurowych do, których dostęp mają

osoby nieupoważnione dokumentów nie zabezpieczonych przed ich dostępem.

3. Zgodnie z art. 100 § 2 pkt 5 Kodeksu Pracy, pracownik jest obowiązany przestrzegać tajemnicy 

określonej w odrębnych przepisach.

4. Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia ochrony danych osobowych. 

5. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy rozporządzenia. 

6. Pracownik dopuszczający się nieuprawnionego ujawnienia lub wykorzystania danych osobowych

w sposób sprzecznych z ich przeznaczeniem (np. wykorzystania danych osobowych do celów prywatnych) czy też ich przetwarzania w sposób niezgodny z przyjętymi zasadami i procedurami może zostać ukarany karą upomnienia lub karą nagany.

7. W razie ciężkiego naruszenia obowiązku zachowania danych osobowych w tajemnicy lub przetwarzania ich w sposób rażąco sprzeczny z przyjętymi zasadami i procedurami, ADO może rozwiązać bez wypowiedzenia umowę o pracę z winy pracownika. 

F.  Zobowiązanie użytkowników

§ 16. 1.  W celu osiągnięcia i utrzymania wysokiego poziomu bezpieczeństwa przetwarzania danych 

osobowych konieczne jest zaangażowanie ze strony każdego użytkownika w zakresie ochrony danych osobowych.

2. Użytkownicy zobowiązani są do informowania  ADO o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane.

3. Użytkownicy przede wszystkim zobowiązani są do:

1)  Postępowania zgodnie z Polityką.

2)  Zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia.

3)  Ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem.

4) Wykonywania konkretnych działań i procesów w celu zapewnienia ochrony danych osobowych.

4. Użytkownicy powinni mieć świadomość możliwości zaistnienia sytuacji naruszenia ochrony danych osobowych. W tym celu powinni:

  1. Przestrzegać procedur związanych z otwieraniem i zamykaniem pomieszczeń, a także z wejściem do obszarów przetwarzania danych osobowych osób nieupoważnionych.
  2. Informować ADO lub pracowników ochrony o  podejrzanych osobach. 
  3. Użytkownicy powinni na podstawie dokonanej identyfikacji ewentualnych zagrożeń, przedkładać ADO projekty i propozycje nowych rozwiązań, których celem jest zwiększenie poziomu ochrony danych osobowych.

§ 17. 1. Użytkownicy w celu ochrony informacji dotyczących danych osobowych powinni podczas 

przetwarzania uwzględniać następujące zasady: 

  1. Wykorzystywania techniki kryptograficzne do ochrony poufności, integralności i rozliczalności danych osobowych przesyłanych publicznymi sieciami telekomunikacyjnymi; 
  2. Ochronę danych osobowych przed przechwyceniem, kopiowaniem, modyfikacją oraz błędnym wyborem drogi komunikacji i zniszczeniem; 
  3. Stosowania zabezpieczenia i ograniczenia związane z możliwościami przekazywania wiadomości za pomocą środków komunikacji, np. automatyczne przekazywania poczty elektronicznej na zewnątrz; 
  4. Nie pozostawiania informacji zawierających dane osobowe przy urządzeniach drukujących, np. kopiarkach, drukarkach, faksach, do których mogą mieć dostęp osoby nieupoważnione;
  5. Upewnienia się przed przekazaniem danych osobowych, czy rozmówca jest osobą 

upoważnioną do uzyskania określonych danych osobowych; 

  1. Zachowania szczególnej ostrożności w trakcie rozmów telefonicznych, unikając podsłuchania danych osobowych przez osoby nieupoważnione; 
  2. Nie pozostawiania wiadomości zawierających dane osobowe w automatycznych sekretarkach; 

2. Transport danych osobowych w formie elektronicznej i papierowej pomiędzy obszarami, w których są przetwarzane dane osobowe powinien być prowadzony przez osoby upoważnione w sposób ograniczający możliwość ich pozyskanie i odczyt przez osoby nieupoważnione. 

§ 18. Zastosowane rozwiązania techniczne umożliwiające dostęp zdalny do danych osobowych 

powinny zapewniać integralność, poufność i rozliczalność przetwarzanych danych osobowych oraz ochronę kryptograficzną wobec danych służących do uwierzytelnia a przesyłanych publicznymi łączami telekomunikacyjnymi. 

§ 19.1.  Zbiory w systemie tradycyjnym powinny być odpowiednio zabezpieczone przed

nieuprawnionym dostępem i zniszczeniem. 

2. Dokumenty i wydruki, zawierające dane osobowe, należy przechowywać w zamykanych pomieszczeniach, do których dostęp mają jedynie uprawnione osoby. 

3. Na czas nie użytkowania, dokumenty i wydruki zawierające dane osobowe powinny być zamykane                       w szafach biurowych lub zamykanych szufladach. 

4. Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone przy użyciu 

niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie. 

5. Dla udokumentowania czynności dokonywanych w celu likwidacji zbiorów archiwalnych, powinny być stosowane przepisy wykonawcze  do ustawy o narodowym zasobie archiwalnym i archiwach .

§ 20. 1. Zbiory w systemie tradycyjnym powinny być odpowiednio zabezpieczone przed 

nieuprawnionym dostępem i zniszczeniem. 

2. Dokumenty i wydruki, zawierające dane osobowe, należy przechowywać w zamykanych 

pomieszczeniach, do których dostęp mają jedynie uprawnione osoby. 

3. Na czas nie użytkowania, dokumenty i wydruki zawierające dane osobowe powinny być zamykane 

w szafach biurowych lub zamykanych szufladach. 

4. Wydruki robocze, błędne lub zdezaktualizowane powinny być niezwłocznie niszczone przy użyciu niszczarki do papieru lub w inny sposób zapewniający skuteczne ich usunięcie lub zanonimizowanie. 

5. Dla udokumentowania czynności dokonywanych w celu likwidacji zbiorów archiwalnych, powinny być stosowane odpowiednie przepisy dotyczące zasad archiwizacji i brakowania dokumentacji.

§ 21.1. Na stacjach roboczych powinno być zainstalowane jedynie oprogramowanie niezbędne do 

pracy, na które zakupiono licencje.

2. Inwentaryzacja oprogramowania zainstalowanego na stacjach roboczych powinna być na bieżąco prowadzona przed zakończeniem pracy.

3.Po zakończeniu pracy użytkownik zamyka system operacyjny i wyłącza komputer monitor oraz urządzenia preferencyjne.

§ 22.1. Zabezpieczenia oparte na identyfikacji i autoryzacji pracowników.

  1. Dostęp do danych na serwerze powinni posiadać jedynie uprawnieni pracownicy posiadający konta logowania (identyfikator) na serwerze i korzystający ze stacji roboczych podłączonych do lokalnej,
  2. Każdy użytkownik systemu ma obowiązek posiadania konta logowania (identyfikator) na serwerze,
  3. Z każdego konta może korzystać tylko jedna osoba,
  4. Wprowadzone hasła dostępu muszą składać się z minimum 8 znaków i muszą m.in. zawierać jedną cyfrę, wielką literę lud znak specjalny,
  5. Zakaz udostępniania hasła współpracownikom ani żadnym innym osobom,
  6. Hasła nie mogą być zapisywane ani notowane w żadnej innej formie,
  7. System rejestruje wszystkie próby logowania do systemu.

§ 23.1. Ścisłe zasady archiwizacji danych w systemie informatycznym.

  1. Archiwizacja danych przeprowadzona powinna być każdego dnia na koniec pracy użytkowników,
  2. Kopie zapasowe przechowywane powinny być na bieżąco w miejscu zabezpieczonym przed 

udostępnianiem niepowołanych osób,

  1. Po zamknięciu każdego miesiąca powinna być tworzona dodatkowa kopia zapasowa na odpowiednim nośniku danych

§ 24.1. Ochrona antywirusowa powinna być prowadzona według poniższych zasad.

  1. Na wszystkich stacjach i serwerach zainstalowane jest oprogramowanie antywirusowe,
  2. Konfiguracja oprogramowania może być zmieniana jedynie przez upoważnione osoby,
  3. użytkownik nie powinien deinstalować ani wyłączać oprogramowania antywirusowego,
  4. Wszystkie pliki wprowadzone do systemu z nośników zewnętrznych takich, jak płyty CD-ROM oraz pobierane z internetu muszą być wcześniej sprawdzone przez oprogramowanie antywirusowe,
  5. Wiadomości pocztowe przed otwarciem powinny być sprawdzone przez oprogramowanie antywirusowe,

§ 25.1. Zabezpieczenia fizyczne.

  1. Sprzęt komputerowy powinien znajdować się w zabezpieczonych pomieszczeniach,
  2. Każde pomieszczenie zamykane jest na klucz, jeśli nikt w nim nie przebywa,
  3. Przed rozpoczęciem pracy klucze pobierane są z sekretariatu, po zakończeniu pracy klucze pozostawiane są w sekretariacie,
  4. W pomieszczeniach, w których znajduje się sprzęt komputerowy, obowiązuje zakaz używania otwartego ognia i palenia tytoniu.
  1. Zasady udostępnia danych osobowych osobom i  podmiotom uprawnionym

§ 26. 1. Dane osobowe mogą być udostępniane tylko osobom i podmiotom uprawnionym do ich

 otrzymania na podstawie rozporządzenia. 

2. Udostępnienie danych osobowych może również nastąpić za zgodą ADO na podstawie złożonego wniosku przez osobę lub podmiot. Wniosek jak i zgoda powinny posiadać formę pisemną

1) Wniosek powinien wskazać wnioskodawcę oraz powinien zawierać:

  1. wskazanie przepisów uprawniających do dostępu do informacji,
  2. określenie rodzaju i zakresu potrzebnych informacji 
  3. formy ich przekazania lub udostępnienia, 
  4. skazanie imienia, nazwiska i stopnia służbowego (o ile zajdzie taka potrzeba) upoważnionego do pobrania informacji lub zapoznania się z ich treścią.

3. Udostępnianie danych osobowych na podstawie ustnego wniosku zawierającego wszystkie powyższe elementy wniosku pisemnego może nastąpić tylko wtedy, gdy zachodzi konieczność niezwłocznego działania, np. w trakcie pościgu za osobą podejrzaną o popełnienie czynu zabronionego albo podczas wykonywania czynności mających na celu ratowanie życia i zdrowia ludzkiego lub mienia.

4. Jeśli informacje są przekazywane na podstawie ustnego wniosku, należy stosownie do okoliczności zwrócić się z prośbą o pokwitowanie albo potwierdzenie. Jeśli pokwitowanie albo potwierdzenie ze względu na okoliczności udostępniania nie są możliwe, osoba udostępniająca informacje sporządza na tę okoliczność notatkę służbową.

5. Udostępniając dane osobowe należy zaznaczyć cel dla, którego można je wykorzystać. 

6. Na pisemny wniosek pochodzący od osoby, informacje o osobie powinny być udzielone w terminie 30 dni od daty złożenia wniosku. 

7. Informacje zawierające dane osobowe są przekazywane uprawnionym podmiotom lub osobom za 

potwierdzeniem odbioru, np. w następujący sposób: 

1) Listem poleconym za pokwitowaniem odbioru. 

2) Innym bezpiecznym, określonym wymogiem prawnym.

  1. Zasady powierzenia przetwarzania danych osobowych

§ 27. Powierzenie przetwarzania danych osobowych może się odbywać wyłącznie na podstawie 

rozporządzenia poprzez zawarcie na piśmie umowy powierzenia przetwarzania danych osobowych, pomiędzy ADO a podmiotem, któremu ADO zleca czynności związane z przetwarzaniem danych.

§ 28. 1. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, 

w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim: 

1) Cel i zakres przetwarzania danych osobowych; 

2) Obowiązek zachowania w tajemnicy danych osobowych oraz informacji o zabezpieczeniach 

tych danych; 

3) Konsekwencje prawne i kary finansowe wynikające z niestosowania się do warunków umowy;

4) Wymagania bezpieczeństwa dla procesu przetwarzania danych osobowych; 

5) Spodziewany czas trwania umowy; 

6) Wymagane działania w momencie zakończenia umowy; 

7) Prawa do audytu i monitorowania działań związanych z ochroną danych osobowych; 

8) Proces powiadamiania i raportowania nieuprawnionego ujawnienia lub naruszenia poufności 

i integralności danych osobowych; 

9) Zasady zwrotu lub niszczenia danych osobowych przy zakończeniu umowy; 

10) Działania podejmowane w przypadku naruszenia warunków umowy. 

2. Właściciele zasobów danych osobowych są zobowiązani do wnioskowania do ADO o przygotowanie projektu umowy powierzenia danych osobowych dla zasobów danych osobowych, za które są odpowiedzialni. 

3. Projekt umowy powierzenia przetwarzania danych osobowych innemu podmiotowi przygotowuje 

zespół powołany przez ADO. 

4. Informacja o podmiotach przetwarzających dane osobowe, z którymi zawarto umowy powierzenia przetwarzania danych osobowych.

  1. Naruszenie lub podejrzenie o naruszenie ochrony danych osobowych

§ 29. 1. Postanowienia Polityki mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia

 naruszenia ochrony danych osobowych przetwarzanych w systemach informatycznych oraz w systemach tradycyjnych. 

2. Za okoliczności, które uznaje się za naruszenie lub podejrzenie naruszenia ochrony systemu 

przetwarzającego dane osobowe, uważa się w szczególności: 

  1. Nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują; 
  2. Nieuprawnione naruszenie lub próby naruszenia poufności, integralności i rozliczalności danych 

i systemu; 

3)  Niezamierzoną zmianę lub utratę danych zapisanych na kopiach zapasowych; 

4) Nieuprawniony dostęp do danych osobowych (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu); 

5)  Udostępnienie osobom nieupoważnionym danych osobowych; 

6) Inny stan systemu informatycznego lub pomieszczeń, niż pozostawiony przez użytkownika po zakończeniu pracy; 

7)  Wydarzenia losowe, obniżające poziom ochrony systemu (np. brak zasilania lub pożar); 

8) Kradzież sprzętu informatycznego lub nośników zewnętrznych zawierających dane osobowe (np. wydruków komputerowych, płyt CD-ROM, dysków twardych, pamięci zewnętrznych, itp.). 

3. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia 

ochrony danych osobowych pracownicy zobowiązani są do bezzwłocznego powiadomienia o tym 

fakcie ADO. 

4. Do czasu przybycia ADO lub osoby wyznaczonej zgłaszający zobowiązany jest do: 

1) Powstrzymania się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania 

jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych 

dowodów; 

2) Zabezpieczenia elementów systemu informatycznego lub kartotek, przede wszystkim  

poprzez uniemożliwienie dostępu do nich osobom nieupoważnionym; 

  1. Podjęcie stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań mających na celu 

zapobieżenie dalszych zagrożeń, które mogą skutkować utratą danych osobowych; 

4) Wykonania poleceń ADO. 

5. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia 

ochrony danych osobowych ADO lub osoba wyznaczona po przybyciu na miejsce: 

  1. Ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń, w których 

przetwarzane są dane osobowe oraz stan urządzeń, a także szacuje wielkość negatywnych następstw incydentu; 

  1. Wysłuchuje relacji osoby, która dokonała powiadomienia oraz innych osób związanych z zaistniałym incydentem; 
  2. Podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych. 

6. ADO sporządza raport z przebiegu zdarzenia, w którym powinny się znaleźć w szczególności informacje o: 

1) Dacie i godzinie powiadomienia; 

2) Godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane; 

3) Sytuacji, jaką zastał; 

4) Podjętych działaniach i ich uzasadnieniu; 

5) Stanie systemu po podjęciu działań naprawczych; 

6) Wnioskach w sprawie ograniczenia możliwości ponownego wystąpienia naruszenia ochrony danych osobowych. 

7. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia od ADO. 

8. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej 

w dyscypliny pracy, ADO wyjaśnia wszystkie okoliczności incydentu i podejmuje stosowne działania wobec osób, które dopuściły się wskazanego naruszenia. 

9. Po zakończeniu czynności naprawczych system powinien utrzymać poziom ochrony nie niższy niż 

przed wystąpieniem incydentu związanego z naruszeniem ochrony danych osobowych. 

  1. Zabezpieczenie systemów informatycznych

§ 30. 1.  Pocztą elektroniczną można przesyłać tylko jednostkowe dane, a nie całe bazy lub szerokie 

z nich wypisy i tylko w postaci zaszyfrowanej. 

2. Użytkownicy zobowiązani są do zwracania uwagi na to, czy urządzenie, na którym pracują, domaga się aktualizacji tych zabezpieczeń. 

3. O wszystkich przypadkach należy informować ADO lub pracowników informatyki oraz umożliwić im monitorowanie oraz aktualizację środków (urządzeń, programów) bezpieczeństwa.

5. ADO dobiera elektroniczne środki ochrony przed atakami z sieci stosownie do pojawiania się nowych zagrożeń (nowe wirusy, robaki, trojany, inne możliwości wdarcia się do systemu), a także stosownie do rozbudowy systemu informatycznego administratora danych i powiększania bazy danych.                       

6. Należy zwracać uwagę, czy rozwijający się system zabezpieczeń sam nie wywołuje nowych zagrożeń. 

7. Należy stosować następujące sposoby kryptograficznej ochrony danych:

1) przy przesyłaniu danych za pomocą poczty elektronicznej stosuje się POP – tunelowanie, 

szyfrowanie połączenia, 

2) przy przesyłaniu danych pracowników, niezbędnych do wykonania przelewów wynagrodzeń, 

używa się bezpiecznych stron https://.

§ 31. 1.  System informatyczny posiada szerokopasmowe połączenie z internetem. 

2. Administrator danych wykorzystuje centralną zaporę sieciową w celu separacji lokalnej sieci od sieci publicznej.

3. Korzystanie z zasobów sieci wewnętrznej jest możliwe tylko w zakresie uprawnień przypisanych do danego konta osoby upoważnionej do przetwarzania danych osobowych.

4. Operacje za pośrednictwem rachunku bankowego Administratora Danych może wykonywać wyłącznie pracownik działu księgowości, upoważniony przez dyrektora, po uwierzytelnieniu się zgodnie z procedurami określonymi przez bank obsługujący rachunek. 

Rozdział III

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe

§ 32.1. Dane osobowe mogą być przetwarzane wyłącznie w budynkach i pomieszczeniach 

wyznaczonych do przetwarzania danych osobowych (Zał. Nr 12).

2. Do pomieszczeń przetwarzania danych osobowych zalicza się pomieszczenia: 

1) serwerowni. 

2) biurowe, w których:

a)  zlokalizowane są stacje robocze, 

b) przechowywane są sprawne oraz uszkodzone elektroniczne nośniki informacji, kopie zapasowe, 

c) przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego, 

d) zlokalizowane są zbiory nieinformatyczne,

e) archiwizuje się dane osobowe.

3. Przebywanie wewnątrz obszarów, o których mowa w ust. 2 osób nieuprawnionych do przetwarzania danych osobowych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych. 

4. Budynki lub pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostęp do nich osobom nieupoważnionym; W celu monitorowania obiegu dostępu do pomieszczeń zaleca się prowadzenie „Rejestru pobierania i zdawania kluczy do pomieszczeń”. 

5. Przetwarzanie danych osobowych jest zakazane w tych pomieszczeniach, w których osoby trzecie wykonują prace techniczne. 

6. Nośniki elektroniczne zawierające dane osobowe powinny być ewidencjonowane i przechowywane

 w zamykanych szafach , które znajdują się w obszarach przetwarzania danych osobowych. 

7. Każdorazowe uchybienie zabezpieczeń fizycznych chroniących dane osobowe powinno być zgłaszane do ADO. 

Rozdział IV

Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym  wraz ze wskazaniem programów służących do ich przetwarzania, opisem struktury, pól informacyjnych oraz powiązań między nimi

§ 33. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do

przetwarzania tych danych stanowi załącznik Nr 17 do niniejszej Polityki. 

§ 34. 1.  Dla każdego zidentyfikowanego zbioru danych powinien być wskazany opis jego

struktury i zakres informacji w nim gromadzonych.

2. Opisy poszczególnych pól informacyjnych w strukturze zbioru danych powinny jednoznacznie wskazywać, jakie kategorie danych są w nich przechowywane. 

3. Opis pola danych, gdy możliwa jest niejednoznaczna interpretacja jego zawartości, powinien wskazywać nie tylko kategorię danych, ale również format jej zapisu i/lub określone w danym kontekście znaczenie

4. Należy wskazać poszczególne grupy informacji oraz istniejące między nimi relacje — identyfikując w ten sposób pełny zakres danych osobowych, jakie przetwarzane są w określonym zbiorze.

§ 35. 1. Przy opisie struktury zbiorów danych nie jest konieczne przedstawianie pełnej dokumentacji 

struktury bazy danych z wyszczególnieniem oryginalnych nazw poszczególnych pól informacyjnych, stosowanych kluczy czy też definicji wbudowanych obiektów funkcyjnych takich jak: procedury, funkcje, pakiety i wyzwalacze.

2. Obiekty zapisane są w bazie danych, tak jak inne dane, są nimi procedury i funkcje, które mogą być później używane przez aplikacje służące do przetwarzania danych

§ 36.. Wskazania powiązań pomiędzy polami informacyjnymi w strukturze zbiorów danych, należy 

rozumieć jako wymóg wskazania wszystkich tych danych znajdujących się w strukturze zbioru, które poprzez występujące relacje można skojarzyć z określoną osobą.

§ 37. 1. Opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych 

i powiązania między nimi może być przedstawiony w postaci formalnej, w postaci graficznej pokazującej istniejące powiązania pomiędzy obiektami jak również w formie opisu tekstowego, który może być następujący: 

1) W zbiorze danych przetwarzane są dane osobowe klientów w zakresie: 

  1. danych adresowych klienta (imię, nazwisko, kod pocztowy, miejscowość, ulica, nr domu), oraz 
  2. wszystkich składanych przez danego klienta zamówieniach (nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia i data odbioru).

2. Opis struktury zbiorów, powinien być przedstawiony w sposób czytelny i zrozumiały.

3. Zakresy danych osobowych przetwarzanych w poszczególnych zbiorach danych osobowych są ustalone w oparciu o strukturę zbiorów danych osobowych prowadzonych w systemach 

informatycznych oraz powiązania pól informacyjnych utworzonych w tych systemach. 

§ 38. 1. W przypadku gdy jest przepływ danych, należy opisać procedurę: 

  1. czy odbywa się to automatycznie, 
  2. czy użytkownik dokonuje ręcznie przeniesienia plików z jednego systemu do drugiego.
  3. jakie dane biorą udział w przepływie? czy wszystkie, czy określonej grupy lub w określonym zakresie? 

2. Narysowany schemat może być uzupełnieniem opisu lub można narysować schemat przepływu (komputery z łączącymi je liniami przepływu).

3. W przypadku gdy nie ma przepływu danych pomiędzy poszczególnymi systemami informatycznymi służącymi do przetwarzania danych osobowych należy wpisać, „Nie ma przepływu danych”.

4. Obrazując przepływ danych, należy wskazać źródło, z którego dane trafiają do określonego systemu, może nim być  zarówno zbiór danych, baza danych, jak i inny system informatyczny.

5. Aby opis był rzetelny, należy wskazać:

  1. nazwę zbioru danych, z którego pochodzą dane,
  2. kierunek przepływu danych.

Rozdział V

Zmiany i udostępniania tekstu Polityki bezpieczeństwa  

§ 39. 1.  Polityka powinna być poddawana przeglądowi przynajmniej raz na rok, czy jest adekwatna 

do:

  1. zmian w budowie systemu informatycznego,

2)  zmian organizacyjnych administratora danych, w tym również zmian statusu osób 

upoważnionych do przetwarzania danych osobowych, 

3)  zmian w obowiązującym prawie.

2. Raz na 2 lata jest przeprowadzany audyt zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

3. Przeprowadzenie audytu wymaga powołania komisji. 

4. Administrator danych może zlecić przeprowadzenie audytu zewnętrznego przez wyspecjalizowany podmiot.

§ 40. 1.Osobom przeszkolonym może zostać przekazany wyciąg z Polityki oraz z „Instrukcji 

zarządzania systemem informatycznym” z uwzględnieniem obowiązków dotyczących ochrony danych osobowych na stanowisku tej osoby.

Facebook Umów
jazdę
Kontakt

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.