Polityka Prywatności
Polityka Prywatności
-
Wprowadzenie
Niniejszy dokument opisuje zasady przetwarzania danych osobowych, których administratorem w rozumieniu art. 7 ust. 4 Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.) jest ŁUKASZ BOROWY C2, ul. Opty 3, 30-836 Kraków, NIP: 6792701789, REGON: 122869692
Polityka bezpieczeństwa danych osobowych zwana dalej również Polityką bezpieczeństwa:
-
obowiązuje wszystkich pracowników (personel) Administratora danych osobowych mających dostęp do przetwarzanych danych osobowych,
-
reguluje zasady współpracy z osobami i podmiotami współpracującymi z Administratorem danych osobowych, mającymi dostęp do przetwarzanych danych.
Opisane zasady ochrony danych osobowych są zgodne z następującymi aktami prawnymi:
-
Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 ze zm.), wraz ze zmianami wprowadzonymi Ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), zwane wspólnie Ustawą
-
Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej Rozporządzeniem MSWiA.
-
Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzoru zgłoszenia powołania bądź odwołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2014 r., poz. 1934).
-
Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych.
-
Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów przetwarzania danych osobowych.
Jeśli inne przepisy przewidują dalej idącą ochronę danych osobowych niż Ustawa, zastosowanie mają te przepisy.
W niniejszym dokumencie użyto następujących pojęć, które oznaczają:
-
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 Ustawy);
-
Administrator danych osobowych lub Administrator danych lub ADO – osoba decydująca o celach i środkach przetwarzania danych osobowych, którą jest Łukasz Borowy, prowadząca działalność gospodarczą pod firmą ŁUKASZ BOROWY C2.
-
Personel, Pracownicy - osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia), przedsiębiorcy wykonujący działalność osobiście i jednoosobowo, osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.
-
Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
-
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
-
Dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące wskazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
-
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
-
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w Systemie informatycznym;
-
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
-
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
-
Integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
-
Rozliczalność – właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
-
Poufnoś
-
danych – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
-
Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego;
-
GIODO – Generalny Inspektor Ochrony Danych Osobowych;
-
Procesor – podmiot, któremu ADO powierza przetwarzanie danych osobowych w drodze umowy zgodnie z art. 31 Ustawy
-
Publiczna sieć telekomunikacyjna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych;
-
Upoważnienie do przetwarzania danych osobowych – dokument wydany przez ADO lub Procesora, upoważniający wskazaną w nim osobę do przetwarzania danych osobowych administrowanych przez ADO; umowa powierzenia przetwarzania danych osobowych;
Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
Wzór upoważnienia stanowi załącznik numer 1 do niniejszej Polityki bezpieczeństwa.
Upoważnienia do przetwarzania danych osobowych są ewidencjonowane.
Ewidencja upoważnień do przetwarzania danych osobowych stanowi załącznik 2 do niniejszej Polityki bezpieczeństwa.
Osoby upoważnione zobowiązane są do przestrzegania przepisów prawa oraz wewnętrznych regulacji ADO o ochronie danych osobowych oraz zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia.
Zobowiązanie takie jest uwzględnione w ramach upoważnienia do przetwarzania danych osobowych, stanowiącego załącznik 1 do niniejszej Polityki bezpieczeństwa.
ADO nie przewiduje przekazywania danych osobowych do państw trzecich.
ADO nie przewiduje udostępnienia danych osobowych, poza przypadkami wymaganymi przepisami prawa.
Zgodnie z art. 31 Ustawy, ADO dokonał powierzenia przetwarzania danych osobowych innym podmiotom.
W każdym przypadku powierzenia, z podmiotem któremu powierzono przetwarzanie danych osobowych zawarta została umowa w formie pisemnej.
Wyżej wymienione umowy zawierają w szczególności:
-
określenie celu przetwarzania danych osobowych przez podmiot, któremu powierzono przetwarzanie danych,
-
określenie zakresu powierzonych danych osobowych,
-
zobowiązanie podmiotu któremu powierzono przetwarzanie danych do zapewnienia powierzonym danym należytej ochrony zgodnej w wymogami określonymi w obowiązujących przepisach prawa,
zobowiązanie podmiotu do udostępnienia informacji dotyczącej sposobu wykonania obowiązku zapewnienia należytej ochrony
Informacje o powierzeniach przedstawiono w poniższej tabeli
|
Dane podmiotu, któremu powierzono przetwarzanie danych |
Nazwa zbioru |
Cel powierzenia |
Zakres powierzenia |
|
IAI Spółka Akcyjna Aleja Piastów 30 PL-71-064 Szczecin
|
Klienci |
Świadczenie usługi hostingu |
- imię - nazwa firmy - adres IP |
|
Pracownicy |
Świadczenie usługi hostingu |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
|
AXIO Sp. z o. o. Ul. Strzelców Wielickich 6 32-020 Wieliczka |
Klienci |
Prowadzenie księgowości |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
Pracownicy |
Prowadzenie spraw pracowniczych |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
|
Firma kurierska – DPD Polska Sp. z o. o. |
Klienci |
Realizacja zamówienia (dostarczenie produktu) |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
Poczta Polska Spółka Akcyjna, |
Klienci |
Realizacja zamówienia (dostarczenie produktu) |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
Firma kurierska – InPost S.A, Ul. Malborska 130, 30-624 Kraków |
Klienci |
Realizacja zamówienia (dostarczenie produktu) |
- imię, nazwisko, - numer telefonu - adres, - adres e-mail - nazwa firmy - NIP |
|
FreshMail Sp. z o.o. |
Newsletter |
Wysyłka newslettera |
- adres e-mail - imię |
-
Zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
-
udostępnieniem osobom nieupoważnionym,
-
zabraniem przez osobę nieuprawnioną,
-
zmianą, utratą, uszkodzeniem lub zniszczeniem.
-
-
Zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
-
została spełniona przesłanka dopuszczająca przetwarzanie danych osobowych,
-
został spełniony obowiązek informacyjny wobec osoby, której dane dotyczą,
-
dane były przetwarzane zgodnie z obowiązującymi przepisami prawa, dobrymi praktykami oraz normami społecznymi,
-
dane zbierane były dla oznaczonych, zgodnych z prawem celów,
-
dane były merytorycznie poprawne oraz adekwatne do celu przetwarzania,
-
dane były przetwarzane nie dłużej niż jest to konieczne do osiągnięcia celu przetwarzania i wypełnienia wymogów prawnych,
-
-
Prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:
-
Polityki bezpieczeństwa danych osobowych,
-
Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
-
-
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w punkcie 3), oraz przestrzegania zasad w niej określonych
-
Dopuszczanie do przetwarzania danych osobowych wyłącznie osób upoważnionych.
-
Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
-
Wydawanie i ewidencjonowanie upoważnień.
-
Zapewnienie i nadzorowanie zgodnego z prawem przekazywanie danych osobowych (udostępnianie i powierzanie).
-
Respektowanie prawa osób do kontroli przetwarzania danych, które jej dotyczą, a w szczególności prawa do:
-
uzyskania informacji o administratorze danych,
-
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych,
-
uzyskania informacji o terminie od kiedy i jakie dane są przetwarzane,
-
uzyskania informacji o źródle, z którego dane pochodzą,
-
uzyskania informacji o sposobie udostępniania danych oraz ich odbiorcach.
-
żądania uzupełnienia, uaktualnienia, sprostowania danych,
-
wniesienia umotywowanego wniosku do zaprzestania przetwarzania danych,
-
wycofania zgody na przetwarzanie danych osobowych.
-
-
Zgłoszenie zbiorów danych osobowych do rejestracji GIODO, jeśli zbiory te nie podlegają zwolnieniu z obowiązku rejestracji;
-
Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
-
Nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe, w tym nadzorowanie dostępu do tych pomieszczeń oraz kontrolę przebywających w nich osób.
-
Zapewnienie przeglądów, konserwacji oraz uaktualniania systemów służących do przetwarzania danych,
-
Nadawanie, zmiany lub pozbawianie uprawnień dostępu do systemu informatycznego,
-
Zapewnienie ochrony antywirusowej,
-
Zapewnienie wykonywania kopii zapasowych.
-
Przestrzeganie zasad ochrony danych osobowych ustanowionych przez ADO i wynikających z aktualnie obowiązujących przepisów prawa,
-
Przetwarzanie danych osobowych wyłącznie w zakresie uprawnień przyznanym przez ADO,
-
Zgłaszanie do ADO wszelkich incydentów związanych z naruszeniem ochrony danych osobowych w szczególności:
- usterek komputerów i oprogramowania,
- wykrycia wirusów i innego potencjalnie niebezpiecznego oprogramowania,
- uzyskania dostępu do zasobów, który przekracza uprawnienia, -
Zgłaszanie do ADO wszelkich nieprawidłowości i potencjalnych przyczyn wystąpienia incydentów związanych z naruszeniem ochrony danych osobowych,
-
Niszczenie wszelkich zawierających dane osobowe dokumentów i nośników, których okres przydatności minął,
-
Zapisywanie haseł tylko i wyłącznie w specjalnym oprogramowaniu przeznaczonym do ich przechowywania
-
Przechowywanie dokumentów zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym
-
Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
Obszarem przetwarzania danych osobowych przez ADO jest:
Siedziba firmy znajdująca się przy Opty 3, 30-836 Kraków
- pomieszczenie nr 1 – siedziba firmy
Oddział firmy znajdująca się przy ul. Sygneczów 1/2, 32-020 Wieliczka:
- pomieszczenie nr 1 – sklep stacjonarny
Dopuszcza się przetwarzanie danych osobowych w systemie informatycznym poza obszarem przetwarzania z użyciem urządzeń przenośnych.
-
Wykaz zbiorów danych osobowych, struktura, oprogramowania służącego do ich przetwarzania, sposób przepływu danych między systemami
Łukasz Borowy jest ADO dla następujących zbiorów danych osobowych:
|
Nazwa zbioru |
Klienci |
|
Forma zbioru |
Elektroniczna, tradycyjna |
|
Opis kategorii osób, których dane dotyczą |
Klienci i zarejestrowani użytkownicy sklepu internetowego (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą). |
|
Sposób zbierania |
Od osób, których dotyczą |
|
Cel przetwarzania danych w zbiorze |
- założenie konta w sklepie internetowym - realizacja zamówień |
|
Rejestracja zbioru |
Zbiór podlega rejestracji na podstawie art. 40 Ustawy |
|
Podstawa prawna upoważniająca do prowadzenia zbioru danych |
Zgoda osoby, której dane dotyczą. |
|
Zakres przetwarzanych w zbiorze danych o osobach |
- imię - nazwa firmy - adres IP |
|
Oprogramowanie |
Oprogramowanie sklepu internetowego IAI Shop, oprogramowanie kadrowo-księgowe. |
|
Przepływ danych między systemami |
Dane osobowe znajdują się na serwerach firmy świadczącej usługę hostingu na których zainstalowane jest oprogramowanie sklepu internetowego. Przepływ danych pomiędzy serwerem hostingowym, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową. Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami. |
|
Nazwa zbioru |
Newsletter |
|
Forma zbioru |
Elektroniczna |
|
Opis kategorii osób, których dane dotyczą |
Odbiorcy newslettera (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą). |
|
Sposób zbierania |
Od osób, których dotyczą |
|
Cel przetwarzania danych w zbiorze |
- wysyłka newslettera |
|
Rejestracja zbioru |
Zbiór podlega rejestracji na podstawie art. 40 Ustawy |
|
Podstawa prawna upoważniająca do prowadzenia zbioru danych |
Zgoda osoby, której dane dotyczą. Prawnie usprawiedliwione cele. |
|
Zakres przetwarzanych w zbiorze danych o osobach |
- adres e-mail - imię |
|
Oprogramowanie |
Oprogramowanie do wysyłki newslettera FreshMail |
|
Przepływ danych między systemami |
Dane osobowe znajdują się na serwerach firmy FreshMail świadczącej usługę wysyłki newslettera. Przepływ danych pomiędzy serwerem firmy FreshMail, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową. Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami. |
|
Nazwa zbioru |
Pracownicy |
|
Forma zbioru |
Tradycyjna, elektroniczna |
|
Opis kategorii osób, których dane dotyczą |
Byli i obecni pracownicy oraz inne osoby stanowiące personel ADO. |
|
Sposób zbierania |
Od osób, których dotyczą |
|
Cel przetwarzania danych w zbiorze |
- zatrudnienie pracowników |
|
Rejestracja zbioru |
Zbiór nie podlega rejestracji. Zwolnienie na podstawie art. 43 ust. 1 pkt 4 Ustawy |
|
Podstawa prawna upoważniająca do prowadzenia zbioru danych |
Przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób. Przetwarzanie odbywa się w oparciu o Kodeks Pracy, przepisu podatkowe i ubezpieczeniowe. |
|
Zakres przetwarzanych w zbiorze danych o osobach |
- imię / imiona - nazwisko / nazwiska - adres zamieszkania lub pobytu - PESEL - NIP - numer telefonu - adres e-mail - nr rachunku bankowego |
|
Oprogramowanie |
Oprogramowanie sklepu internetowego IAI Shop, oprogramowanie kadrowo-księgowe. |
|
Przepływ danych między systemami |
Dane osobowe znajdują się na serwerach firmy świadczącej usługę hostingu na których zainstalowane jest oprogramowanie sklepu internetowego oraz w systemie informatycznym biura rachunkowego. Przepływ danych pomiędzy serwerem hostingowym, a systemem informatycznym ADO odbywa się przy wykorzystaniu urządzenia końcowego posiadającego dostęp do sieci Internet i wyposażonego w przeglądarkę internetową. Poniższy schemat prezentuje sposób przepływu danych pomiędzy systemami. |
|
Nazwa zbioru |
Dostawcy |
|
Forma zbioru |
Elektroniczna, tradycyjna |
|
Opis kategorii osób, których dane dotyczą |
Kontrahenci (osoby fizyczne nieprowadzące oraz prowadzące działalność gospodarczą) dostarczając produkty i usługi. |
|
Sposób zbierania |
Od osób, których dotyczą |
|
Cel przetwarzania danych w zbiorze |
- realizacja umów na dostarczanie towarów i usług |
|
Rejestracja zbioru |
Zbiór nie podlega rejestracji. Zwolnienie na podstawie art. 43 ust. 1 pkt 4 Ustawy |
|
Podstawa prawne przetwarzania danych |
Realizacja umowy lub podejmowanie działań przed jej zawarciem. |
|
Struktura |
- imię - nazwisko - nazwa firmy - adres kontrahenta - NIP - adres email - nr telefonu |
|
Oprogramowanie |
Oprogramowanie kadrowo księgowe |
|
Przepływ danych między systemami |
Dane osobowe znajdują się w systemie informatycznym ADO. Brak przepływu danych pomiędzy systemami. |
-
Do danych osobowych i ich przetwarzania dopuszczone są wyłącznie osoby upoważnione przez ADO.
-
Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
-
Każda osoba upoważniona pracuje wyłącznie na swoim koncie użytkownika.
-
Niedozwolone jest udostępnianie konta użytkownika przypisanego danej osobie, osobom trzecim.
-
Niedozwolone jest udostępnianie danych dostępowych do konta osobom postronnym lub innym osobom upoważnionym.
-
Wszelkie dokumenty zarówno w formie papierowej jak i w formie elektronicznej zawierające dane osobowe są zabezpieczane w przypadku, gdy w pomieszczeniu wchodzącym w skład obszaru przetwarzania danych osobowych nie znajduje się osoba upoważniona.
-
Podczas nieobecności osoby upoważnionej w pomieszczeniu, w którym przetwarzane są dane osobowe, w celu zabezpieczenia danych przetwarzanych elektroniczne, osoba upoważniona do przetwarzania danych zobowiązana jest:
- wylogować się z konta użytkownika i wyłączyć komputer, lub jeżeli pomieszczenie jest opuszczane chwilowo
- wylogowania się z konta użytkownika bez wyłączania komputera.
-
Podczas nieobecności osoby upoważnionej w pomieszczeniu, w którym przetwarzane są dane osobowe, w celu zabezpieczenia danych przetwarzanych elektroniczne, osoba upoważniona do przetwarzania danych zobowiązana jest do umieszczenia ich w miejscu przechowywania, tj. w szafie zamykanej na klucz, w sejfie lub w specjalnym plecaku uniemożliwiającym kradzież laptopa z jego wnętrza, przymocowanym łańcuchem i kłódką do stałego elementu pomieszczenia, w którym przetwarzane są dane osobowe (np. słup nośny) tak, aby uniemożliwić jego wyniesienie poza obszar przetwarzania danych.
-
Opracowano i wdrożono Politykę bezpieczeństwa
-
Opracowano i wdrożono Instrukcję zarządzania systemem informatycznym
-
Osoby pracujące przy przetwarzaniu danych osobowych zostały zapoznane z przepisami dotyczącymi przetwarzania danych osobowych i bezpieczeństwa systemów informatycznych.
-
Osoby pracujące przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy.
-
Ekrany komputerów, tabletów i innych urządzeń (w tym przenośnych) muszą być ustawianie w ten sposób, aby uniemożliwić osobom nieuprawnionym wgląd w wyświetlane dane. Dotyczy to zarówno stacjonarnych jak i przenośnych stanowisk pracy.
-
Użytkownicy systemów informatycznych służących do przetwarzania danych osobowych zobowiązani są do okresowej zmiany haseł (tam gdzie nie jest to wymuszone przez system).
-
Niedopuszczalne jest używanie nośników danych niewiadomego pochodzenia.
-
Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
-
Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
-
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
-
Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
-
Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.
-
Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS.
-
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
-
Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.
-
Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
-
Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia., Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
-
Użyto system Firewall do ochrony dostępu do sieci komputerowej.
-
Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych.
-
Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
-
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
-
Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
-
Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych., Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
-
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
-
Urządzenie końcowe umożliwiające dostęp do zbiorów danych osobowych zabezpieczone jest identyfikatorem i hasłem.
-
Urządzenia przenośne na których przetwarza się dane osobowe poza obszarem przetwarzania danych osobowych zabezpieczone są kryptograficznie.
-
W urządzeniach końcowych stosowane są wygaszacze ekranów zabezpieczone hasłem, włączające się w przypadku dłuższej nieaktywności użytkownika.
-
Aktualizacje systemu operacyjnego i programów w komputerach działających pod kontrolą systemu Windows, w szczególności aktualizacje bezpieczeństwa, realizowane są przy wykorzystaniu funkcji Windows Update ustawionej w tryb automatyczny.
-
Skanowanie antywirusowe realizowane jest w sposób automatyczny, raz w tygodniu.
-
Oprogramowanie antywirusowe (w tym w szczególności sygnatury wirusów) aktualizowane jest automatycznie.
-
Wzór upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem osoby upoważnionej
-
Ewidencja upoważnień do przetwarzania danych osobowych