Polityka Prywatności

Polityka Prywatności



  1. Wprowadzenie

Niniejszy dokument opisuje zasady przetwarzania danych osobowych, których administratorem w rozumieniu art. 7 ust. 4 Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.) jest ŁUKASZ BOROWY C2, ul. Opty 3, 30-836 Kraków, NIP: 6792701789, REGON: 122869692
Polityka bezpieczeństwa danych osobowych zwana dalej również Polityką bezpieczeństwa:

  • obowiązuje wszystkich pracowników (personel) Administratora danych osobowych mających dostęp do przetwarzanych danych osobowych,

  • reguluje zasady współpracy z osobami i podmiotami współpracującymi z Administratorem danych osobowych, mającymi dostęp do przetwarzanych danych.

Opisane zasady ochrony danych osobowych są zgodne z następującymi aktami prawnymi:

  1. Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.), wraz ze zmianami wprowadzonymi Ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), zwane wspólnie Ustawą

  2. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej Rozporządzeniem MSWiA.

  3. Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzoru zgłoszenia powołania bądź odwołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2014 r., poz. 1934).

  4. Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych.

  5. Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów przetwarzania danych osobowych.

Jeśli inne przepisy przewidują dalej idącą ochronę danych osobowych niż Ustawa, zastosowanie mają te przepisy.

  1. Definicje


W niniejszym dokumencie użyto następujących pojęć, które oznaczają:

  1. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 Ustawy);

  2. Administrator danych osobowych lub Administrator danych lub ADO – osoba decydująca o celach i środkach przetwarzania danych osobowych, którą jest Łukasz Borowy, prowadząca działalność gospodarczą pod firmą ŁUKASZ BOROWY C2.

  3. Personel, Pracownicy - osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia), przedsiębiorcy wykonujący działalność osobiście i jednoosobowo, osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.

  4. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;

  5. Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

  6. Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące wskazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

 

  1. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

  2. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w Systemie informatycznym;

  3. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

  4. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

  5. Integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

  6. Rozliczalność – właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

  7. Poufnoś

  8. danych – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

  9. Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego;

  10. GIODO – Generalny Inspektor Ochrony Danych Osobowych;

  11. Procesor – podmiot, któremu ADO powierza przetwarzanie danych osobowych w drodze umowy zgodnie z art. 31 Ustawy

  12. Publiczna sieć telekomunikacyjnasieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;

  13. Upoważnienie do przetwarzania danych osobowych – dokument wydany przez ADO lub Procesora, upoważniający wskazaną w nim osobę do przetwarzania danych osobowych administrowanych przez ADO; umowa powierzenia przetwarzania danych osobowych;

  1. Ogólne zasady przetwarzania danych osobowych

    1. Przetwarzanie danych przez personel ADO

Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
Wzór upoważnienia stanowi załącznik numer 1 do niniejszej Polityki bezpieczeństwa.
Upoważnienia do przetwarzania danych osobowych są ewidencjonowane.
Ewidencja upoważnień do przetwarzania danych osobowych stanowi załącznik 2 do niniejszej Polityki bezpieczeństwa.
Osoby upoważnione zobowiązane są do przestrzegania przepisów prawa oraz wewnętrznych regulacji ADO o ochronie danych osobowych oraz zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia.
Zobowiązanie takie jest uwzględnione w ramach upoważnienia do przetwarzania danych osobowych, stanowiącego załącznik 1 do niniejszej Polityki bezpieczeństwa.

    1. Przekazywanie danych osobowych do państwa trzeciego

ADO nie przewiduje przekazywania danych osobowych do państw trzecich.

    1. Udostępnienie danych osobowych

ADO nie przewiduje udostępnienia danych osobowych, poza przypadkami wymaganymi przepisami prawa.

    1. Powierzenie przetwarzania danych innym podmiotom

Zgodnie z art. 31 Ustawy, ADO dokonał powierzenia przetwarzania danych osobowych innym podmiotom.
W każdym przypadku powierzenia, z podmiotem któremu powierzono przetwarzanie danych osobowych zawarta została umowa w formie pisemnej.
Wyżej wymienione umowy zawierają w szczególności:

  • określenie celu przetwarzania danych osobowych przez podmiot, któremu powierzono przetwarzanie danych,

  • określenie zakresu powierzonych danych osobowych,

  • zobowiązanie podmiotu któremu powierzono przetwarzanie danych do zapewnienia powierzonym danym należytej ochrony zgodnej w wymogami określonymi w obowiązujących przepisach prawa,

zobowiązanie podmiotu do udostępnienia informacji dotyczącej sposobu wykonania obowiązku zapewnienia należytej ochrony

Informacje o powierzeniach przedstawiono w poniższej tabeli

Dane podmiotu, któremu powierzono przetwarzanie danych

Nazwa zbioru

Cel powierzenia

Zakres powierzenia

IAI Spółka Akcyjna

Aleja Piastów 30

PL-71-064 Szczecin

 

Klienci

Świadczenie

usługi hostingu

- imię
- nazwisko

- nazwa firmy
- adres e-mail
- adres zamawiającego
- adres dostawy
- numer telefonu
- NIP

- adres IP

Pracownicy

Świadczenie

usługi hostingu

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

AXIO Sp. z o. o.

Ul. Strzelców Wielickich 6

32-020 Wieliczka

Klienci

Prowadzenie księgowości

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

Pracownicy

Prowadzenie spraw pracowniczych

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

Firma kurierska – DPD Polska Sp. z o. o.
Ul. Mineralna 15, 02-274 Warszawa

Klienci

Realizacja zamówienia (dostarczenie produktu)

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

Poczta Polska Spółka Akcyjna,
ul. Rodzin Hiszpańskich 8
00-940 Warszawa

Klienci

Realizacja zamówienia (dostarczenie produktu)

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

Firma kurierska – InPost S.A, Ul. Malborska 130,

30-624 Kraków

Klienci

Realizacja zamówienia (dostarczenie produktu)

- imię, nazwisko,

- numer telefonu

- adres,

- adres e-mail

- nazwa firmy

- NIP

FreshMail Sp. z o.o.
Al. 29 Listopada 155 c
31-406 Kraków

Newsletter

Wysyłka newslettera

- adres e-mail

- imię

 

  1. Obowiązki ADO i Personelu

    1. Obowiązki ADO

  1. Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:

    • udostępnieniem osobom nieupoważnionym,

    • zabraniem przez osobę nieuprawnioną,

    • zmianą, utratą, uszkodzeniem lub zniszczeniem.

  2. Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:

    • została spełniona przesłanka dopuszczająca przetwarzanie danych osobowych,

    • został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą,

    • dane były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami oraz normami społecznymi,

    • dane zbierane były dla oznaczonych, zgodnych z prawem celów,

    • dane były merytorycznie poprawne oraz adekwatne do celu przetwarzania,

    • dane były przetwarzane nie dłużej niż jest to konieczne do osiągnięcia celu przetwarzania i wypełnienia wymogów prawnych,

  3. Prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:

    • Polityki bezpieczeństwa danych osobowych,

    • Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

  4. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w punkcie 3), oraz przestrzegania zasad w niej określonych

  5. Dopuszczanie do przetwarzania danych osobowych wyłącznie osób upoważnionych.

  6. Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych

  7. Wydawanie i ewidencjonowanie upoważnień.

  8. Zapewnienie i nadzorowanie zgodnego z prawem przekazywanie danych osobowych (udostępnianie i powierzanie).

  9. Respektowanie prawa osób do kontroli przetwarzania danych, które jej dotyczą, a w szczególności prawa do:

    • uzyskania informacji o administratorze danych,

    • uzyskania informacji o celu, zakresie i sposobie przetwarzania danych,

    • uzyskania informacji o terminie od kiedy i jakie dane są przetwarzane,

    • uzyskania informacji o źródle, z którego dane pochodzą,

    • uzyskania informacji o sposobie udostępniania danych oraz ich odbiorcach.

    • żądania uzupełnienia, uaktualnienia, sprostowania danych,

    • wniesienia umotywowanego wniosku do zaprzestania przetwarzania danych,

    • wycofania zgody na przetwarzanie danych osobowych.

  10. Zgłoszenie zbiorów danych osobowych do rejestracji GIODO, jeśli zbiory te nie podlegają zwolnieniu z obowiązku rejestracji;

  11. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

  12. Nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym nadzorowanie dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób.

  13. Zapewnienie przeglądów, konserwacji oraz uaktualniania systemów służących do przetwarzania danych,

  14. Nadawanie, zmiany lub pozbawianie uprawnień dostępu do systemu informatycznego,

  15. Zapewnienie ochrony antywirusowej,

  16. Zapewnienie wykonywania kopii zapasowych.

    1. Obowiązki Personelu (i innych osób upoważnionych przez ADO)

  1. Przestrzeganie zasad ochrony danych osobowych ustanowionych przez ADO i wynikających z aktualnie obowiązujących przepisów prawa,

  2. Przetwarzanie danych osobowych wyłącznie w zakresie uprawnień przyznanym przez ADO,

  3. Zgłaszanie do ADO wszelkich incydentów związanych z naruszeniem ochrony danych osobowych w szczególności:
    - usterek komputerów i oprogramowania,
    - wykrycia wirusów i innego potencjalnie niebezpiecznego oprogramowania,
    - uzyskania dostępu do zasobów, który przekracza uprawnienia,

  4. Zgłaszanie do ADO wszelkich nieprawidłowości i potencjalnych przyczyn wystąpienia incydentów związanych z naruszeniem ochrony danych osobowych,

  5. Niszczenie wszelkich zawierających dane osobowe dokumentów i nośników, których okres przydatności minął,

  6. Zapisywanie haseł tylko i wyłącznie w specjalnym oprogramowaniu przeznaczonym do ich przechowywania

  7. Przechowywanie dokumentów zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe


Obszarem przetwarzania danych osobowych przez ADO jest:
Siedziba firmy znajdująca się przy Opty 3, 30-836 Kraków
- pomieszczenie nr 1 – siedziba firmy

Oddział firmy znajdująca się przy ul. Sygneczów 1/2, 32-020 Wieliczka:
- pomieszczenie nr 1 – sklep stacjonarny

Dopuszcza się przetwarzanie danych osobowych w systemie informatycznym poza obszarem przetwarzania z użyciem urządzeń przenośnych.

  1. Wykaz zbiorów danych osobowych, struktura, oprogramowania służącego do ich przetwarzania, sposób przepływu danych między systemami


Łukasz Borowy jest ADO dla następujących zbiorów danych osobowych:

Nazwa zbioru

Klienci

Forma zbioru

Elektroniczna, tradycyjna

Opis kategorii osób, których dane dotyczą

Klienci i zarejestrowani użytkownicy sklepu internetowego (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą).

Sposób zbierania

Od osób, których dotyczą

Cel przetwarzania danych w zbiorze

- założenie konta w sklepie internetowym

- realizacja zamówień

Rejestracja zbioru

Zbiór podlega rejestracji na podstawie art. 40 Ustawy

Podstawa prawna upoważniająca do prowadzenia zbioru danych

Zgoda osoby, której dane dotyczą.
Realizacja umowy lub podejmowanie działań przed jej zawarciem.
Prawnie usprawiedliwione cele.

Zakres przetwarzanych w zbiorze danych o osobach

- imię
- nazwisko

- nazwa firmy
- adres e-mail
- adres zamawiającego
- adres dostawy
- numer telefonu
- NIP

- adres IP

Oprogramowanie

Oprogramowanie sklepu internetowego IAI Shop, oprogramowanie kadrowo-księgowe.

Przepływ danych między systemami

Dane osobowe znajdują się na serwerach firmy świadczącej usługę hostingu na których zainstalowane jest oprogramowanie sklepu internetowego. Przepływ danych pomiędzy serwerem hostingowym, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową.
Dane osobowe wprowadzane są do systemu przez Klientów – osoby, których dane dotyczą, przy wykorzystaniu formularzy znajdujących się w sklepie internetowym ADO.

Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami.

 

Nazwa zbioru

Newsletter

Forma zbioru

Elektroniczna

Opis kategorii osób, których dane dotyczą

Odbiorcy newslettera (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą).

Sposób zbierania

Od osób, których dotyczą

Cel przetwarzania danych w zbiorze

- wysyłka newslettera

Rejestracja zbioru

Zbiór podlega rejestracji na podstawie art. 40 Ustawy

Podstawa prawna upoważniająca do prowadzenia zbioru danych

Zgoda osoby, której dane dotyczą.

Prawnie usprawiedliwione cele.

Zakres przetwarzanych w zbiorze danych o osobach

- adres e-mail

- imię

Oprogramowanie

Oprogramowanie do wysyłki newslettera FreshMail

Przepływ danych między systemami

Dane osobowe znajdują się na serwerach firmy FreshMail świadczącej usługę wysyłki newslettera. Przepływ danych pomiędzy serwerem firmy FreshMail, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową.
Dane osobowe wprowadzane są do systemu przez Klientów – osoby, których dane dotyczą, przy wykorzystaniu formularzy znajdujących się w sklepie internetowym ADO (zapis na newsletter).

Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami.

 

 

Nazwa zbioru

Pracownicy

Forma zbioru

Tradycyjna, elektroniczna

Opis kategorii osób, których dane dotyczą

Byli i obecni pracownicy oraz inne osoby stanowiące personel ADO.

Sposób zbierania

Od osób, których dotyczą

Cel przetwarzania danych w zbiorze

- zatrudnienie pracowników

Rejestracja zbioru

Zbiór nie podlega rejestracji. Zwolnienie na podstawie art. 43 ust. 1 pkt 4 Ustawy

Podstawa prawna upoważniająca do prowadzenia zbioru danych

Przetwarzanie jest niezbędne do wykonania zadań administratora danych

odnoszących się do zatrudnienia pracowników i innych osób. Przetwarzanie odbywa się w oparciu o Kodeks Pracy, przepisu podatkowe i ubezpieczeniowe.

Zakres przetwarzanych w zbiorze danych o osobach

- imię / imiona

- nazwisko / nazwiska

- adres zamieszkania lub pobytu

- PESEL

- NIP

- numer telefonu

- adres e-mail

- nr rachunku bankowego

Oprogramowanie

Oprogramowanie sklepu internetowego IAI Shop, oprogramowanie kadrowo-księgowe.

Przepływ danych między systemami

Dane osobowe znajdują się na serwerach firmy świadczącej usługę hostingu na których zainstalowane jest oprogramowanie sklepu internetowego oraz w systemie informatycznym biura rachunkowego. Przepływ danych pomiędzy serwerem hostingowym, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową.
Dane osobowe wprowadzane są do systemu przez ADO

Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami.

 

 

Nazwa zbioru

Dostawcy

Forma zbioru

Elektroniczna, tradycyjna

Opis kategorii osób, których dane dotyczą

Kontrahenci (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą) dostarczając produkty i usługi.

Sposób zbierania

Od osób, których dotyczą

Cel przetwarzania danych w zbiorze

- realizacja umów na dostarczanie towarów i usług

Rejestracja zbioru

Zbiór nie podlega rejestracji. Zwolnienie na podstawie art. 43 ust. 1 pkt 4 Ustawy

Podstawa prawne przetwarzania danych

Realizacja umowy lub podejmowanie działań przed jej zawarciem.
Prawnie usprawiedliwione cele.

Struktura

- imię

- nazwisko

- nazwa firmy

- adres kontrahenta

- NIP
- REGON

- adres email

- nr telefonu

Oprogramowanie

Oprogramowanie kadrowo księgowe

Przepływ danych między systemami

Dane osobowe znajdują się w systemie informatycznym ADO.

Dane osobowe wprowadzane są do systemu przez ADO lub upoważnionych pracowników

Brak przepływu danych pomiędzy systemami.

 

  1. Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych

    1. Środki organizacyjne zapewniające ochronę przetwarzanych danych osobowych

  • Do danych osobowych i ich przetwarzania dopuszczone są wyłącznie osoby upoważnione przez ADO.

  • Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.

  • Każda osoba upoważniona pracuje wyłącznie na swoim koncie użytkownika.

  • Niedozwolone jest udostępnianie konta użytkownika przypisanego danej osobie, osobom trzecim.

  • Niedozwolone jest udostępnianie danych dostępowych do konta osobom postronnym lub innym osobom upoważnionym.

  • Wszelkie dokumenty zarówno w formie papierowej jak i w formie elektronicznej zawierające dane osobowe są zabezpieczane w przypadku, gdy w pomieszczeniu wchodzącym w skład obszaru przetwarzania danych osobowych nie znajduje się osoba upoważniona.

  • Podczas nieobecności osoby upoważnionej w pomieszczeniu, w którym przetwarzane są dane osobowe, w celu zabezpieczenia danych przetwarzanych elektroniczne, osoba upoważniona do przetwarzania danych zobowiązana jest:

- wylogować się z konta użytkownika i wyłączyć komputer, lub jeżeli pomieszczenie jest opuszczane chwilowo

- wylogowania się z konta użytkownika bez wyłączania komputera.

  • Podczas nieobecności osoby upoważnionej w pomieszczeniu, w którym przetwarzane są dane osobowe, w celu zabezpieczenia danych przetwarzanych elektroniczne, osoba upoważniona do przetwarzania danych zobowiązana jest do umieszczenia ich w miejscu przechowywania, tj. w szafie zamykanej na klucz, w sejfie lub w specjalnym plecaku uniemożliwiającym kradzież laptopa z jego wnętrza, przymocowanym łańcuchem i kłódką do stałego elementu pomieszczenia, w którym przetwarzane są dane osobowe (np. słup nośny) tak, aby uniemożliwić jego wyniesienie poza obszar przetwarzania danych.

  • Opracowano i wdrożono Politykę bezpieczeństwa

  • Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym

  • Osoby pracujące przy przetwarzaniu danych osobowych zostały zapoznane z przepisami dotyczącymi przetwarzania danych osobowych i bezpieczeństwa systemów informatycznych.

  • Osoby pracujące przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy.

  • Ekrany komputerów, tabletów i innych urządzeń (w tym przenośnych) muszą być ustawianie w ten sposób, aby uniemożliwić osobom nieuprawnionym wgląd w wyświetlane dane. Dotyczy to zarówno stacjonarnych jak i przenośnych stanowisk pracy.

  • Użytkownicy systemów informatycznych służących do przetwarzania danych osobowych zobowiązani są do okresowej zmiany haseł (tam gdzie nie jest to wymuszone przez system).

  • Niedopuszczalne jest używanie nośników danych niewiadomego pochodzenia.

    1. Środki ochrony fizycznej

  • Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.

  • Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

  • Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.

    1. Środki sprzętowe, informatyczne i telekomunikacyjne

  • Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.

  • Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS.

  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.

  • Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.

  • Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia., Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.

  • Użyto system Firewall do ochrony dostępu do sieci komputerowej.

  • Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych.

  • Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.

  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.

  • Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych., Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.

  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

    1. Środki ochrony w ramach systemu użytkownika

  • Urządzenie końcowe umożliwiające dostęp do zbiorów danych osobowych zabezpieczone jest identyfikatorem i hasłem.

  • Urządzenia przenośne na których przetwarza się dane osobowe poza obszarem przetwarzania danych osobowych zabezpieczone są kryptograficznie.

  • W urządzeniach końcowych stosowane są wygaszacze ekranów zabezpieczone hasłem, włączające się w przypadku dłuższej nieaktywności użytkownika.

  • Aktualizacje systemu operacyjnego i programów w komputerach działających pod kontrolą systemu Windows, w szczególności aktualizacje bezpieczeństwa, realizowane są przy wykorzystaniu funkcji Windows Update ustawionej w tryb automatyczny.

  • Skanowanie antywirusowe realizowane jest w sposób automatyczny, raz w tygodniu.

  • Oprogramowanie antywirusowe (w tym w szczególności sygnatury wirusów) aktualizowane jest automatycznie.

 

  1. Załączniki

  1. Wzór upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem osoby upoważnionej

  2. Ewidencja upoważnień do przetwarzania danych osobowych

 

 

 

Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką dotyczącą cookies. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce.
Zamknij
pixel