Bezpieczeństwo
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH
W K&K Kamil Bałys
wersja 2 z dnia 01.02.2017
1) Wprowadzenie systemu ochrony danych osobowych,
2) Inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych w firmie firmą K&K Kamil Bałys, 3) Wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.
4. ODPOWIEDZIALNOŚĆ ZA STOSOWANIE POLITYKI
4.1. Osoby odpowiedzialne za stosowanie polityki
1.CEL WPROWADZENIA POLITYKI
Na podstawie art. art. 39a ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.) oraz § 3, 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) wprowadza się Politykę bezpieczeństwa ochrony danych osobowych w firmie … oraz Instrukcję zarządzania systemem informatycznym załącznik nr 1 do niniejszej Polityki. Celem Polityki jest:1) Wprowadzenie systemu ochrony danych osobowych,
2) Inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych w firmie firmą K&K Kamil Bałys, 3) Wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.
2. ZAKRES STOSOWANIA
2.1. Dokument dotyczy pracowników i współpracowników firmy K&K Kamil Bałys przetwarzających dane osobowe, a także każdej osoby mającej dostęp do tychże danych osobowych. 2.2. Dokument może obejmować również firmy, które zawrą umowę z firmą K&K Kamil Bałys na podstawie, której powierzone zostaną im dane osobowe.3. DEFINICJE, TERMINOLOGIA I INFORMACJE DODATKOWE
Polityka bezpieczeństwa ochrony danych osobowych – zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych (zwana dalej „Polityką”). Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Administrator danych osobowych (ADO) – Przetwarzający albo podmiot, który zawarł z Przetwarzającym Umowę o powierzeniu przetwarzania danych osobowych. Administrator bezpieczeństwa informacji (ABI) – Przetwarzający albo osoba wyznaczona przez Przetwarzającego, nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych Administrator systemu informatycznego (ASI)– Przetwarzający albo inna osoba odpowiedzialna za funkcjonowanie systemu informatycznego oraz stosowanie technicznych i organizacyjnych środków ochrony w tym systemie, w firmie Przetwarzającego. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Identyfikator użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Hasło użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Upoważnienie – dokument upoważniający pracownika do przetwarzania danych osobowych. Przetwarzający – firma …. Pisemne przekazanie – każda udokumentowana forma dostarczenia informacji (mail, fax., list polecony, pismo za pokwitowaniem itp.). Ustawa – Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.). Umowa – umowa, o której mowa w art. 31 ust. 1 Ustawy zawarta pomiędzy Administratorem Danych Osobowych i Przetwarzającym, mocą której przetwarzanie danych osobowych powierzone zostaje Przetwarzającemu.4. ODPOWIEDZIALNOŚĆ ZA STOSOWANIE POLITYKI
4.1. Osoby odpowiedzialne za stosowanie polityki
- Kamil Bałys – własciciel – odpowiada za egzekwowanie stosowania postanowień Polityki i wyciąganie konsekwencji za jej naruszanie oraz powołanie w firmie ABI.
- ABI odpowiada za wskazanie standardów i nadzorowanie przestrzegania zasad ochrony danych osobowych w firmie oraz za zabezpieczenie danych osobowych w systemach informatycznych. Funkcje ABI wykonuje Kamil Bałys – właściciel
- Pozostali pracownicy odpowiadają za przestrzeganie i praktyczne stosowanie Polityki.
- ABI jest zobowiązany również do:
- zapewniania przestrzegania przepisów o ochronie danych osobowych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),
- prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).
- Oświadczenie potwierdzające cele i zasady bezpieczeństwa danych osobowych
- Przetwarzający planuje podjęcie odpowiednich działań dla zapewnienia ochrony i bezpieczeństwa danych osobowych przed wszelkimi zagrożeniami, a w szczególności z zagrożeniami wynikającymi z przetwarzania danych w systemach informatycznych.
- Poprzez zapewnienie bezpieczeństwa należy rozumieć stan uniemożliwiający bezprawne przetwarzanie, zmianę, utratę, uszkodzenie lub zniszczenie danych osobowych w firmie przez osoby postronne lub nieupoważnione.
- Niniejszy dokument został przygotowany z myślą o zapewnieniu standardów bezpieczeństwa danych osobowych w firmie Przetwarzającego ze szczególnym uwzględnieniem zgodności z prawem.
5. PRACA Z DANYMI OSOBOWYMI
- W firmie Przetwarzającego praca z danymi powinna być prowadzona wyłącznie przez osoby, którym wystawiono upoważnienie. Osoby te mają obowiązek:
- przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityka,
- chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed zniszczeniem.
- Upoważnienie zatwierdza ABI w 2 egzemplarzach. Jeden egzemplarz przekazywany jest do akt osobowych, jeden dla osoby upoważnionej. ABI w firmie prowadzi rejestr upoważnień. Upoważnienie wygasa w przypadku:
- ustania stosunku pracy,
- zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło,
- zakończenia kontraktu z kontrahentem zewnętrznym.
5.3. W przypadku dopuszczenia pracownika do przetwarzania danych osobowych
w systemach informatycznych przyznaje się jej login i hasło dostępowe. Hasło należy niezwłocznie zmienić po jego otrzymaniu.
5.4. Dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
5.5. Zbierane dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów,
w jakich są przetwarzane. Rodzaj i treść danych nie może wykraczać poza potrzeby wynikające z celu ich zbierania.
5.6. Zabronione jest zbieranie danych nieistotnych, nie mających znaczenia, danych o większym stopniu szczegółowości niż to wynika z określonego celu.
6. PRZETWARZANIE DANYCH OSOBOWYCH
- Dane osobowe przetwarzane są poprzez ich:
- utrwalanie,
- przechowywanie,
- opracowywanie,
- udostępnianie,
- usuwanie
w szczególności w systemie informatycznym.
- W przypadku powierzenia przetwarzania danych osobowych podmiotom zewnętrznym
w imieniu Przetwarzającego na podstawie Umowy, należy zawrzeć pisemną umowę zgodnie z wymogami ustawy. W przypadku powierzenia przetwarzania danych osobowych kopię stosownej umowy należy przekazać ABI. Przed podpisaniem Umowy należy zweryfikować, czy podmiot zewnętrzny spełnia ustawowe przesłanki dopuszczalności udostępnienia danych osobowych w drodze Umowy.
- Przekazujący upoważnia pracowników do udostępniania danych osobowych osobie, której dane dotyczą. W przypadku wniosku osoby, której dane dotyczą odpowiedź musi nastąpić w terminie 30 dni od daty jego otrzymania. Odpowiedź musi zawierać następujące informacje:
- Jakie dane osobowe zawiera zbiór,
- W jaki sposób zebrano dane,
- W jakim celu i zakresie dane są przetwarzane,
- W jakim zakresie i komu dane zostały udostępnione,
- Inne informacje, o które prosi wnioskujący, o ile nie stanowią tajemnicy przedsiębiorstwa.
- Każdorazowe udostępnienie danych osobowych, na umotywowany wniosek upoważnionych instytucji i organów powinno być konsultowane z ABI. Należy odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to:
- ujawnienie wiadomości stanowiących tajemnicę państwową,
- zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi
lub bezpieczeństwa i porządku publicznego,
- zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
- istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.
- Przetwarzanie danych osobowych w systemie informatycznym powinno odbywać się na poziomie wysokim.
- Powierzenie przetwarzania danych osobowych osobom, które nie posiadają upoważnienia, a które to muszą dokonać prac serwisowych lub im podobnych możliwe jest wyłącznie:
- po podpisaniu przez taką osobę oświadczenia o zachowaniu poufności albo
- gdy osoba taka wykonuje powierzone jej czynności pod nadzorem osoby posiadającej ww. upoważnienie.
- W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy ją poinformować w przystępnej dla nie formie o:
- adresie swojej siedziby i pełnej nazwie,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
- Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są również następujące rejestry i ewidencje:
- Rejestr osób upoważnionych do przetwarzania danych osobowych,
- Rejestr zbiorów danych prowadzony przez ABI.
7. TWORZENIE ZBIORÓW DANYCH OSOBOWYCH
- Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami prowadzi ABI
- W przypadku konieczności wprowadzenia istotnych zmian dotyczących struktury zbioru danych osobowych lub zasad przetwarzania danych w zbiorze pracownik powiadamia o tym powiadamia ABI. Zmiany mogą być wprowadzone po uzyskaniu zgody ABI.
- Usuwanie danych osobowych przetwarzanych w systemach informatycznych wykonywane może być zgodnie z instrukcjami ABI oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
8. INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
- Incydenty naruszenia bezpieczeństwa
Przypadki mogące wskazywać na zaistnienie sytuacji kryzysowych:
- przekazanie osobie nieuprawnionej danych osobowych,
- uzyskanie sygnału o naruszeniu ochrony danych osobowych,
- niedopełnienie obowiązku ochrony danych osobowych,
- zaginięcie dokumentów lub nośnika zawierającego dane osobowe,
- ujawnienie indywidualnych haseł lub udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe,
- próba lub naruszenie integralności danych oraz modyfikacje w dokumentach
lub systemie przetwarzania danych,
- wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania,
- wykonanie nieuprawnionych kopii danych osobowych.
- Procedura postępowania w sytuacjach kryzysowych
8.2.1 W przypadku ujawnienia incydentu opisanego w pkt 8.1 pracownik powinien:
- powstrzymać się od podjęcia działań skutkujących zniszczeniem lub uszkodzeniem stosownych dowodów,
- zabezpieczyć dowody i zapobiec dalszym zagrożeniom,
- niezwłocznie powiadomić o zaistniałej sytuacji kierownika komórki organizacyjnej
w obszarze swojego działania lub w przypadku jego nieobecności bezpośredniego przełożonego.
- ABI lub osoba przez niego upoważniona sporządza na temat incydentu informację, którą przedstawia organowi zarządzającemu Przetwarzającego oraz poleca podjęcie działań niezbędnych do likwidacji incydentu. W przypadku, gdy incydent powstał w wyniku uchybienia przez pracownika ustalonej polityki mogą zostać podjęte kroki dyscyplinarne.
- Zadania osób
- Osobę, która ma zostać upoważniona do przetwarzania danych osobowych właścicel zapoznaje z:
- Ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002 roku,
Nr 101, poz. 926 ze zm.),
- Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024),
- Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719),
- Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),
- niezbędną dokumentacją polityki bezpieczeństwa ochrony danych osobowych.
- Po zapoznaniu się z wyżej wymienionymi dokumentami właściciel (ABI) wydaje upoważnienia.
- Pracownikowi wydaje się upoważnienie, którego wzór stanowi Załącznik.
- Inne zagrożenia i ochrona przed nimi
- Dokumenty oraz nośniki zawierające dane osobowe przechowywane są w wydzielonym pomieszczeniu, do którego dostęp mają wyłącznie osoby upoważnione.
9. WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH
- Dane osobowe w systemie informatycznym przetwarzane są przy wykorzystaniu systemu operacyjnego MS Windows, MAC OS.
- Zbiorami danych osobowych objęte są przede wszystkim dane osobowe pracowników oraz kontrahentów Administratorów Danych Osobowych przekazane do przetwarzania na mocy Umowy.
10. OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI
I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
- Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się szczegółowe rozwiązania techniczne i organizacyjne przedstawione w niniejszej Polityce oraz Instrukcji zarządzania systemem informatycznym.
- Dane osobowe zapisywane na nośniku elektronicznym należy szyfrować lub zabezpieczyć hasłem. Nośniki wykorzystywane do celów operacyjnych należy przechowywać, w czasie nieobecności w pomieszczeniu osoby upoważnionej, w zamykanych na klucz szafach
lub sejfach. W przypadku, gdy zbiór danych osobowych był zapisany na nośniku w sposób trwały i nie będzie dalej wykorzystywany, należy go zniszczyć fizycznie po skopiowaniu danych na dysk twardy stacji roboczej (serwera), wprowadzeniu do systemu, aplikacji itp.
- Dla zabezpieczenia zbiorów danych osobowych wprowadza się system uwierzytelniania użytkowników zabezpieczony, co najmniej 8-znakowym hasłem zawierającym małe
i wielkie litery oraz cyfry i znaki specjalne.
- Wprowadza się mechanizm domeny dla zarządzania stacjami i użytkownikami sieci. Każdy użytkownik sieci powinien posiadać własny identyfikator i hasło, którego zmianę wymusza system zarządzania siecią. Dla ewentualnych użytkowników korzystających z tych samych stacji roboczych wprowadza się mechanizm identyfikacji i autoryzacji. Wprowadza się powszechny system kontroli antywirusowej. Dostęp do danych w zbiorach danych osobowych przez użytkowników systemów możliwy jest wyłącznie za pośrednictwem aplikacji służących do przetwarzania tych zbiorów. W przypadku dłuższej nieaktywności użytkownika wprowadza się mechanizm blokady stacji roboczych.
- W sytuacji przetwarzania danych osobowych, przez pracowników na komputerach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych, są oni zobowiązani chronić nośnik oraz dane przed utratą i dostępem osób nieuprawnionych. W tym do dodatkowego zabezpieczenia hasłem plików lub folderów zawierających dane osobowe.
- Głównym sposobem pracy w oparciu o dane osobowe przetwarzane w systemie informatycznym jest odmiejscowienie dostępu do zasobów.
- Dokumenty papierowe zawierające dane osobowe powinny być chronione przed dostępem osób nieuprawnionych podczas ich przetwarzania. Dokumenty papierowe z danymi osobowymi, w czasie nieobecności w pomieszczeniu osoby upoważnionej do przetwarzania danych osobowych, muszą być przechowywane w zamykanych na klucz sprzętach biurowych.
- Dokumenty lub nośniki danych zawierające dane osobowe powinny być komisyjnie archiwizowane lub niszczone w sposób gwarantujący brak możliwości odczytania danych osobowych zawartych w dokumentach lub nośnikach elektronicznych.
- Monitorowanie ochrony danych osobowych powinno być prowadzone na bieżąco przez pracowników, podczas audytów wewnętrznych oraz w innej formie określonej przez ABI.
- Nadzór nad właściwym funkcjonowaniem systemu informatycznego, w którym przetwarzane są dane osobowe prowadzony jest przez ABI
- ODPOWIEDZIALNOŚĆ DYSCYPLINARNA I KARNA
Za naruszenie wymogów niniejszej Polityki pracownik podlega odpowiedzialności dyscyplinarnej.
Niezależnie od tego, zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, naruszenie jej przepisów jest zagrożone w następujący sposób:
„Art. 49
- Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
- Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe
lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 50
Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do roku.
Art. 51
- Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
- Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
12. UWAGI KOŃCOWE
- Wątpliwości, dotyczące interpretacji lub zastosowania przepisów Polityki wyjaśnia ABI.
- Tekst Polityki powinien zostać udostępniony użytkownikom w taki sposób, aby mogli się
z nim zapoznać i wdrożyć w życie jej postanowienia. Jednocześnie tekst Polityki stanowi tajemnicę Przetwarzającego w rozumieniu tajemnicy przedsiębiorstwa zgodnie
z ustawą z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.
13. SPIS ZAŁĄCZNIKÓW
Załącznik Nr 1 – Struktura zbiorów danych osobowych.
Załącznik Nr 2 – Rejestr udostępnień danych osobowych.
Załącznik Nr 3 – Wniosek o nadanie upoważnienia do przetwarzania danych osobowych.
Załącznik Nr 4 – Upoważnienie dla pracownika wraz z oświadczeniem.
Załącznik Nr 5 – Rejestr osób upoważnionych do przetwarzania danych osobowych
Załącznik Nr 6 – Rejestr zbiorów danych osobowych
14. AKTY PRAWNE I DOKUMENTY ZWIĄZANE
- Konstytucja Rzeczypospolitej Polskiej.
- Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.).
- Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719),
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745).
- zapewniania przestrzegania przepisów o ochronie danych osobowych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),
- prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).
- przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityka,
- chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed zniszczeniem.
- utrwalanie,
- przechowywanie,
- opracowywanie,
- udostępnianie,
- usuwanie
- Każdorazowe udostępnienie danych osobowych, na umotywowany wniosek upoważnionych instytucji i organów powinno być konsultowane z ABI. Należy odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to:
- Przetwarzanie danych osobowych w systemie informatycznym powinno odbywać się na poziomie wysokim.
- Powierzenie przetwarzania danych osobowych osobom, które nie posiadają upoważnienia, a które to muszą dokonać prac serwisowych lub im podobnych możliwe jest wyłącznie:
- po podpisaniu przez taką osobę oświadczenia o zachowaniu poufności albo
- gdy osoba taka wykonuje powierzone jej czynności pod nadzorem osoby posiadającej ww. upoważnienie.
- W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy ją poinformować w przystępnej dla nie formie o:
- adresie swojej siedziby i pełnej nazwie,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
- Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są również następujące rejestry i ewidencje:
- Rejestr osób upoważnionych do przetwarzania danych osobowych,
- Rejestr zbiorów danych prowadzony przez ABI.
- ABI lub osoba przez niego upoważniona sporządza na temat incydentu informację, którą przedstawia organowi zarządzającemu Przetwarzającego oraz poleca podjęcie działań niezbędnych do likwidacji incydentu. W przypadku, gdy incydent powstał w wyniku uchybienia przez pracownika ustalonej polityki mogą zostać podjęte kroki dyscyplinarne.