POLITYKA BEZPIECZEŃSTWA

DANYCH OSOBOWYCH

W FRAM SPÓŁKA JAWNA EDWARD NOWAK

  • 1

Informacje ogólne

 

Polityka bezpieczeństwa w zakresie ochrony danych osobowych w Fram Spółka jawna Edward Nowak zwana dalej Polityką Bezpieczeństwa określa sposób zabezpieczania oraz przetwarzania danych osobowych.

Ze względu na wagę problemów związanych  z ochroną prawa do prywatności,
a w szczególności prawa osób fizycznych powierzających swoje dane osobowe, do właściwej i skutecznej ochrony tych danych należy:

  • podjąć wszelkie niezbędne działania dla ochrony praw i usprawiedliwionych interesów jednostki związane z bezpieczeństwem danych osobowych,
  • podnosić świadomość oraz kwalifikacje osób przetwarzających dane osobowe
    w Fram Spółka jawna Edward Nowak w zakresie problematyki bezpieczeństwa tych danych,
  • traktować obowiązki przy przetwarzaniu danych osobowych, przez osoby zatrudnione w Fram Spółka jawna Edward Nowak, jako należące do kategorii podstawowych obowiązków pracowniczych,
  • stałe doskonalić i rozwijać nowoczesne metody przetwarzania danych oraz podejmować i rozwijać organizacyjne, techniczne i informatyczne środki ochrony tych danych tak, aby skutecznie zapobiegać zagrożeniom związanym z:
  1. nieautoryzowanym dostępem, wykradaniem bądź niszczeniem danych przez wszelkiego rodzaju mechanizmy i programy szpiegujące, wirusy komputerowe, konie trojańskie i inne niepożądane oprogramowanie,
  2. dostępem do nieautoryzowanych i niezabezpieczonych stron internetowych, mogących posiadać skrypty pozwalające wykradać zasoby komputera, który się
    z nimi łączy,
  3. atakami z sieci uniemożliwiającymi przetwarzanie danych oraz spamem,
  4. użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania danych poza Fram spółka jawna Edward Nowak,
  5. możliwością niekontrolowanego kopiowania danych na zewnętrzne, nośniki,
  6. działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści,
  7. lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez zabezpieczenia,
  8. brakiem świadomości niebezpieczeństwa przy dopuszczaniu osób postronnych do swojego stanowiska pracy,
  9. kradzieżą sprzętu lub nośników z danymi,
  10. kradzieżami tożsamości umożliwiającymi podszywanie się pod inną osobę,
  11. przekazywaniem niezabezpieczonego sprzętu komputerowego do serwisu zewnętrznego i innym zagrożeniom mogącym wystąpić w przyszłości w związku z rozwojem technik i metod przetwarzania danych.

  • 2

Definicje

 

  • Komórka organizacyjna – wyodrębniony element struktury Fram Spółka jawna Edward Nowak realizujący zadania określone w niniejszym Regulaminie, w szczególności: dział, sekcję lub samodzielne stanowisko;
  • Administrator danych osobowych – zadania administratora danych osobowych wykonuje Fram Spółka jawna Edward Nowak,
  • Administrator systemu informatycznego – osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych w Fram Spółka jawna Edward Nowak
  • Użytkownik danych – każdy pracownik, który wykonując czynności służbowe, przetwarza dane osobowe, tzn. wykonuje na nich operacje takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie;
  • Osoba upoważniona – osoba posiadająca upoważnienie wydane przez administratora danych osobowych (lub osobę uprawnioną przez niego) i dopuszczona jako użytkownik do przetwarzania danych osobowych w systemie informatycznym lub w formie papierowej w zakresie wskazanym w upoważnieniu
  • Osoba uprawniona – osoba posiadająca upoważnienie wydane przez administratora danych osobowych do wykonywania w jego imieniu określonych czynności.
  • Sieć telekomunikacyjna – sieć o definicji zawartej w Ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004r. Nr 171, poz. 1800, z późniejszymi zmianami);
  • Sieć lokalna – połączenie funkcjonujących w Fram Spółka jawna Edward Nowak systemów informatycznych i stacji roboczych przy wykorzystaniu urządzeń i sieci telekomunikacyjnych;
  • Stacja robocza – stacjonarny lub przenośny komputer, tablet, telefon lub inne urządzenie wchodzące w skład systemu informatycznego umożliwiający użytkownikom dostęp do danych znajdujących się w tym systemie;
  • System informatyczny – zespół współpracujących ze sobą urządzeń, programów, połączeń sieciowych i narzędzi programowych zastosowanych w celu przetwarzania danych;
  • Bezpieczeństwo systemu informatycznego – wdrożone przez administratora danych osobowych lub osobę przez niego uprawnioną, środki organizacyjne
    i techniczne w celu zabezpieczenia oraz ochrony danych przed nieautoryzowanym dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem;
  • Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się
    w systemach informatycznych;
  • System przetwarzania danych – ta część systemu informatycznego oraz te procedury przetwarzania dokumentów papierowych, które razem tworzą system współpracujących ze sobą mechanizmów wykorzystywanych przy przetwarzaniu danych w Fram Spółka jawna Edward Nowak;
  • Integralność danych – właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  • Poufność danych – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom i osobom;
  • Zbiór danych osobowych – każdy posiadający strukturę logiczną zestaw danych
    o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
  • Kartoteki – nośniki danych osobowych w formie papierowej.

  • 3

Cel wprowadzenia Polityki Bezpieczeństwa

 

Celem wprowadzenia niniejszej Polityki Bezpieczeństwa jest:

  • ochrona danych osobowych przetwarzanych i gromadzonych w Fram Spółka jawna Edward Nowak i dotyczy:
    1. zabezpieczenia przed dostępem do danych osób nieupoważnionych, na każdym etapie ich przetwarzania w szczególności wprowadzania, aktualizacji lub usuwania, wyświetlania lub drukowania zestawień i raportów, przemieszczania danych w sieci lokalnej pomiędzy programami i osobami je przetwarzającymi,
    2. metod archiwizacji oraz ochrony danych zarchiwizowanych na nośnikach zewnętrznych, wirtualnym dysku i wydrukach,
    3. procedur niszczenia niepotrzebnych wydruków lub nośników z danymi,
    4. ustalenia i wdrożenia zabezpieczeń przed dostępem osób niepowołanych do pomieszczeń, w których są eksploatowane urządzenia gromadzące i przetwarzające dane,
    5. określenia polityki i sposobów dostępu do tych pomieszczeń przez pracowników, personel pomocniczy oraz serwis zewnętrzny,
  • zmniejszenie ryzyka utraty informacji,
  • określenia zakresu obowiązków pracowników – w części dotyczącej bezpieczeństwa danych,
  • podnoszenie świadomości pracowników i ich pełne zaangażowanie w ochronę przetwarzanych danych.

 

 

  • 4

Zakres stosowania Polityki Bezpieczeństwa

Zasady określone przez niniejszy dokument mają zastosowanie do całego systemu przetwarzania danych w tym do systemu informatycznego, a w szczególności do:

  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są lub będą informacje podlegające ochronie,
  • informacji będących własnością Fram Spółka jawna Edward Nowak,
  • wszystkich nośników papierowych, magnetycznych lub optycznych, na których są lub będą znajdować się informacje podlegające ochronie,
  • wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
  • wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, zleceniobiorców, współpracowników, stażystów i innych osób mających dostęp do informacji podlegających ochronie.

 

 

  • 5

Sposób i zakres udostępniania dokumentu

 

  1. Z niniejszym dokumentem powinni zapoznać się wszyscy pracownicy administracyjni Fram Spółka jawna Edward Nowak, a w szczególności:
    • osoby upoważnione do przetwarzania danych osobowych w zbiorach i bazach danych,
    • obsługa informatyczna Fram Spółka jawna Edward Nowak ,
  2. Za rozpowszechnienie dokumentu i umożliwienie zapoznania się z nim przez wszystkich pracowników odpowiedzialny jest Administrator danych osobowych.
  3. Dokument powinien zostać umieszczony w formie elektronicznej, na wewnętrznych zasobach sieciowych, do których dostęp posiadają wszyscy pracownicy Fram Spółka jawna Edward Nowak lub w uzasadnionych przypadkach powinien zostać im przedłożony w formie papierowej.

  • 6

Zasady Polityki Bezpieczeństwa

 

  1. W celu zwiększenia efektywności ochrony danych osobowych dokonano połączenia różnych zabezpieczeń w sposób umożliwiający stworzenie kilku warstw ochronnych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.
  2. Zastosowane zabezpieczenia gwarantują:

1) poufność danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,

2) integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

3) rozliczalność – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

4) integralność systemu – rozumie się przez to nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,

5) uwierzytelnianie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

  1. Za przestrzeganie zasad ochrony i bezpieczeństwa danych w komórkach organizacyjnych odpowiedzialni są kierownicy tych komórek.
  2. Realizację zamierzeń określonych w § 6 ust. 2 powinny zagwarantować następujące założenia:

1) wdrożenie procedur określających postępowanie osób zatrudnionych przy przetwarzaniu danych osobowych oraz ich odpowiedzialność za bezpieczeństwo tych danych,

2) przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych,

3) przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (hasła, identyfikatory), zapewniających im dostęp do różnych poziomów baz danych osobowych – stosownie do indywidualnego zakresu upoważnienia,

4) podejmowanie niezbędnych działań w celu likwidacji słabych ogniw w systemie zabezpieczeń ,

5) okresowe sprawdzanie przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych,

6) opracowanie procedur odtwarzania systemu w przypadku wystąpienia awarii,

7) śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych i – w miarę możliwości organizacyjnych i techniczno-finansowych – wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, które będą służyły wzmocnieniu bezpieczeństwa danych osobowych.

  • 7

Naruszenie ochrony danych osobowych

 

  1. Za naruszenie ochrony danych osobowych uważa się w szczególności:

1) nieuprawniony dostęp lub próbę dostępu do danych osobowych lub pomieszczeń, w których się one znajdują,

2) wszelkie modyfikacje danych osobowych lub próby ich dokonania przez osoby nieuprawnione (np. zmian zawartości danych, utrat całości lub części danych ),

3) naruszenie lub próby naruszenia integralności systemu,

4) zmianę lub utratę danych zapisanych na kopiach zapasowych,

5) naruszenie lub próby naruszenia poufności danych lub ich części,

6) nieuprawniony dostęp (sygnał o nielegalnym logowaniu lub inny objaw wskazujący na próbę lub działanie związane z nielegalnym dostępem do systemu),

7) udostępnienie osobom nieupoważnionym danych osobowych lub ich części,

8) zniszczenie, uszkodzenie lub wszelkie próby nieuprawnionej ingerencji w systemy informatyczne zmierzające do zakłócenia ich działania bądź pozyskania w sposób niedozwolony (lub w celach niezgodnych z przeznaczeniem) danych zawartych w systemach informatycznych lub kartotekach,

9) inny stan systemu informatycznego lub pomieszczeń niż pozostawiony przez użytkownika po zakończeniu pracy,

  1. Za naruszenie ochrony danych osobowych uważa się również włamanie do budynku lub pomieszczeń, w których przetwarzane są dane osobowe lub próby takich działań .

  • 8

Przedsięwzięcia zabezpieczające przed naruszeniem ochrony danych osobowych

 

  1. Każdemu nowo zatrudnionemu pracownikowi – przed dopuszczeniem do dostępu do danych osobowych – zostaje przedłożone do wglądu, a następnie pozostawione w zbiorze upoważnień, upoważnienie do przetwarzania danych stosowne do zajmowanego stanowiska i podlega on przeszkoleniu w zakresie przepisów o ochronie danych osobowych oraz wynikających z nich zadań oraz obowiązków.
  2. Wszyscy użytkownicy danych podlegają okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmian wewnętrznych regulacji.
  3. Za organizację szkoleń , odpowiedzialny jest Administrator danych osobowych.
  4. Szkolenia odbywają się na wniosek kierowników komórek organizacyjnych.
  5. Użytkownicy danych powinni mieć świadomość możliwości zaistnienia sytuacji naruszenia ochrony danych osobowych. W tym celu należy:

1) zwracać szczególną uwagę przy wchodzeniu i wychodzeniu z obiektu na podejrzane osoby lub samochody parkujące w pobliżu,

2) przestrzegać procedur związanych z otwieraniem i zamykaniem pomieszczeń , a także z wejściem do obszarów przetwarzania danych osobowych osób nieupoważnionych,

3) przestrzegać procedur związanych z korzystaniem ze stacji roboczej, w których przechowywane są dane osobowe, bądź posiadają dostęp do systemu informatycznego,

4) zwracać szczególną uwagę na wszelkie zaburzenia w pracy stacji roboczej lub systemu informatycznego,

5) informować Administratora danych osobowych lub pracowników ochrony o podejrzanych osobach, tj.:

  1. a) osobach zachowujących się nienormalnie np. nieodpowiednio ubranych do pory roku, dnia i pogody;
  2. b) osobach przebywających w obiekcie bez wyraźnego celu;
  3. c) osobach posiadających przy sobie podejrzane bagaże, w których mogą być ukryte niebezpieczne przedmioty;

4) przestrzegać zasad i procedur ochrony danych osobowych, w czasie pracy a także po jej zakończeniu.

  1. Kierownicy komórek organizacyjnych, a także osoby na stanowiskach samodzielnych oraz użytkownicy zobowiązani są, na podstawie dokonanej identyfikacji ewentualnych zagrożeń, przedkładać Administratorowi danych osobowych projekty i propozycje stosownych rozwiązań, których celem jest zabezpieczenie przed naruszeniem ochrony danych osobowych.

  • 9

Zabezpieczenia przed naruszeniem ochrony danych osobowych

 

  1. Do podstawowych zabezpieczeń przed naruszeniem ochrony danych osobowych

należą:

1) ochrona obiektu przez wszystkie dni w roku,

2) wydzielanie pomieszczeń ,

3) wyposażenie pomieszczeń w specjalne szafy,

4) zabezpieczenie wejść do pomieszczeń odpowiednimi zamkami,

  1. Klucze do pomieszczeń i szaf wydawane są wyłącznie osobom do tego uprawnionym. Wzór rejestru osób uprawnionych do posiadania kluczy do pomieszczeń stanowi Załącznik nr 1.
  2. Klucze zapasowe do pomieszczeń , przechowywane są w specjalnej szafie i mogą być wydawane w sytuacjach awaryjnych.
  3. Klucze zapasowe do szaf, w których przechowywane są kartoteki powinny być umieszczone w specjalnej szafie i mogą być wydawane w sytuacjach awaryjnych.
  4. Każdorazowe zdanie i pobranie kluczy zapasowych podlega wpisowi do rejestru, w rejestrze odnotowuje się datę, godzinę i nazwisko osoby zdającej lub pobierającej klucze oraz potwierdza jej podpisem. Wzór rejestru podjęcia klucza zapasowego stanowi załącznik numer 2.
  5. Kartoteki przechowywane są w przeznaczonych do tego szafach, do których dostęp mają wyłącznie użytkownicy. Użytkownicy odpowiedzialni są za rzetelne prowadzenie kartotek, ich kompletność oraz ochronę.

  • 10

Przetwarzanie danych osobowych

 

  1. Przetwarzanie danych osobowych z użyciem stacjonarnego sprzętu komputerowego oraz karotek odbywa się wyłącznie na obszarze wyznaczonym przez Administratora Danych.
  2. Przetwarzanie danych osobowych za pomoc urządzeń przenośnych może odbywać się poza obszarem przetwarzania danych wyłącznie za zgodą Administratora danych osobowych.
  3. W celu ograniczenia dostępu osób postronnych do pomieszczeń, w których zlokalizowano przetwarzanie danych osobowych, należy zapewnić, aby:

1) drzwi wejściowe były zabezpieczone tak, aby otwarcie z zewnątrz mogło nastąpić wyłącznie przez uprawnione osoby,

2) wydawanie kluczy do pomieszczeń podlegało rejestracji, z jednoczesnym poświadczeniem przez osobę odbierającą, faktu otrzymania kluczy o oznaczonym numerze,

3) pomieszczenia, w których znajdują się serwery były wyposażone w miarę możliwości w sprawne systemy klimatyzacji, ochrony przeciwpożarowej i przeciwwłamaniowej,

4) pracownicy Administratora Danych oraz pracownicy ochrony są zobowiązani do przestrzegania zasad określających dopuszczalne sposoby przemieszczania się osób trzecich w obrębie pomieszczeń , w których przetwarzane są dane osobowe,

5) przebywanie osób trzecich w pomieszczeniach, w których przetwarzane są dane osobowe może odbywać się wyłącznie w obecności użytkowników lub za zgodą Administratora Danych.

  1. Stały dostęp do pomieszczeń , w których przetwarzane są dane osobowe, mają tylko użytkownicy oraz Informatyk.
  2. Dostęp do pomieszczeń , w których przetwarzane są dane osobowe, osób innych, niż wymienione w ust. 4, jest możliwy wyłącznie w obecności, co najmniej jednego użytkownika lub za zgodą Administratora Danych.
  3. Przebywanie użytkownika po godzinach pracy w pomieszczeniach, w których przetwarzane są dane osobowe jest dopuszczalne jedynie za zgodą kierownika komórki organizacyjnej.
  4. W trakcie prac technicznych wykonywanych przez osoby trzecie w pomieszczeniach, przetwarzanie danych jest zabronione, szafy z kartotekami oraz stacje robocze są odpowiednio zabezpieczone.

  • 11

Kontrola przestrzegania zasad zabezpieczenia ochrony danych osobowych

 

  1. Administrator danych osobowych sprawuje nadzór nad przestrzeganiem zasad ochrony danych osobowych.
  2. Administrator danych osobowych lub osoba przez niego upoważniona dokonuje okresowych kontroli i oceny funkcjonowania mechanizmów zabezpieczeń oraz przestrzegania zasad postępowania w przypadku naruszenia ochrony danych osobowych.
  3. Przedmiotem kontroli, o których mowa w ust. 2 powinno być w szczególności:

1) funkcjonowanie zabezpieczeń systemowych,

2) prawidłowo funkcjonowania mechanizmów kontroli dostępu do zbioru danych,

3) funkcjonowanie zastosowanych zabezpieczeń fizycznych,

 4) zasady przechowywania kartotek,

 5) zasady i sposoby likwidacji oraz archiwizowania zbiorów archiwalnych,

 6) realizacja procedur wdrożonych przez Administratora Danych w zakresie ochrony danych.

  1. Administrator danych osobowych prowadzi rejestr dokonywanych kontroli oraz ustaleń, wniosków i zaleceń z nich wynikających, a także nadzoruje ich wykonywanie.
  2. Z kontroli, o których mowa w ust. 4 należy sporządzać protokoły, które przechowuje Administrator ochrony danych.

  • 12

Postępowanie w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych

 

  1. Przed przystąpieniem do pracy użytkownik obowiązany jest dokonać sprawdzenia stanu urządzeń komputerowych oraz oględzin swojego stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.
  2. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie Administratora ochrony danych lub upoważnioną przez niego osobę.
  3. Obowiązek określony w ust. 2 ciąży równie na pozostałych pracownikach Administratora Danych.
  4. Postanowienia ust. 2 i 3 mają zastosowanie zarówno w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych gromadzonych w systemach informatycznych, jak i w kartotekach.
  5. Do czasu przybycia upoważnionej osoby, zgłaszający:

1) powstrzymuje się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów,

2) zabezpiecza elementy systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych,

3) podejmuje, stosownie do zaistniałej sytuacji, wszelkie niezbędne działania celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.

  1. Postanowienia ust. 5 mają zastosowanie zarówno w przypadku naruszenia, jak i w przypadku podejrzenia naruszenia ochrony danych.
  2. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, Administrator danych osobowych lub osoba przez niego upoważniona, po przybyciu na miejsce:

1) ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan pomieszczeń , w których przetwarzane są dane oraz stan urządzeń , a także identyfikuje wielkość negatywnych następstw incydentu,

2) wysłuchuje relacji osoby, która dokonała powiadomienia,

3) podejmuje decyzje o toku dalszego postępowania, stosownie do zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych osobowych.

  1. Administrator danych osobowych lub upoważniona przez niego osoba sporządza z przebiegu zdarzenia raport, w którym powinny się znaleźć w szczególności informacje o:

1) dacie i godzinie powiadomienia,

2) godzinie pojawienia się w pomieszczeniach, w których przetwarzane są dane,

3) sytuacji, jaką zastał,

4) podjętych działaniach i ich uzasadnieniu.

  1. Administrator danych osobowych lub osoba przez niego upoważniona podejmuje kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i zapobieżenia wystąpieniu ich w przyszłości. W tym celu:

1) w miarę możliwości przywraca stan zgodny z zasadami zabezpieczenia systemu,

2) o ile taka potrzeba zachodzi, postuluje wprowadzenie nowych form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi osób zatrudnionych przy przetwarzaniu danych osobowych.

  1. W przypadku, gdy naruszenie ochrony danych osobowych jest wynikiem uchybienia obowiązującej u Administratora Danych dyscypliny pracy, Administratora Danych lub osoba przez niego upoważniona dąży do wyjaśnienia wszystkich okoliczności incydentu i podejmuje stosowne działania wobec osób, które dopuściły się tego uchybienia.
  2. W przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik może kontynuować pracę dopiero po otrzymaniu pozwolenia od Administratora danych osobowych lub osoby przez niego upoważnionej.
  3. W przypadku zaginięcia komputera, tableta, telefonu, nośników magnetycznych, bądź innych urządzeń na których były zgromadzone dane osobowe, użytkownik posługujący się powyższymi urządzeniami niezwłocznie powiadamia Administratora danych osobowych lub upoważnioną przez niego osobę, a w przypadku kradzieży występuje o powiadomienie jednostki policji.
  4. W sytuacji, o której mowa w ust. 12 Administrator danych osobowych lub upoważniona przez niego osoba podejmuje niezbędne kroki do wyjaśnienia okoliczności zdarzenia, sporządza protokół z zajęcia, który powinna podpisać także osoba, której skradziono lub, której zaginął sprzęt.
  5. W przypadku, o którym mowa w ust 12 Administrator ochrony danych lub upoważniona przez niego osoba podejmuje działania zmierzające do odzyskania utraconych danych oraz nadzoruje proces przebiegu wyjaśnienia sprawy.
  6. Osoba zatrudniona przy przetwarzaniu danych osobowych za naruszenie obowiązków wynikających z niniejszej Polityki bezpieczeństwa oraz przepisów o ochronie danych osobowych ponosi odpowiedzialność przewidzianą w Regulaminie Pracy, Kodeksie Pracy oraz wynikając z ustawy o ochronie danych osobowych.
  7. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
  8. Zgłoszenie, o którym mowa w ust. 16, musi co najmniej:
  9. a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  10. b) zawierać imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać więcej informacji;
  11. c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  12. d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  13. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  14. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  15. Zawiadomienie, o którym mowa w ust. 19, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej następujące informacje i środki:

– imię i nazwisko oraz dane kontaktowe osoby, od której można uzyskać więcej informacji;

– opisuje możliwe konsekwencje naruszenia ochrony danych osobowych;

– opisuje środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Zawiadomienie, o którym mowa w ust. 19, nie jest wymagane, w następujących przypadkach:
  2. a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  3. b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 19;
  4. c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  • 13

Postępowanie w wypadku klęski żywiołowej

 

  1. Klęską żywiołową jest katastrofa, spowodowana działaniem sił przyrody takich jak ogień , huragan, woda lub ich przejawami.
  2. W przypadku wystąpienia zagrożenia powodującego konieczność przeprowadzenia ewakuacji osób lub mienia z pomieszczeń , w których przetwarzane są dane osobowe, mają zastosowanie przepisy niniejszego rozdziału oraz innych przepisów szczególnych.
  3. O zagrożeniu, jego skali i podjętych krokach zaradczych pracownik zobowiązany jest niezwłocznie powiadomić Administratora danych osobowych lub osobę przez niego upoważnioną w każdy możliwy sposób. W razie niemożności skontaktowania się z nim pracownik zawiadamia, co najmniej jedną z niej wymienionych osób:

1) osobę wyznaczoną przez Administratora Danych,

2) kierownictwo Administratora Danych.

  1. Numery telefonów osób, z którymi należy się kontaktować na wypadek klęski żywiołowej powinny być znane pracownikom.
  2. Osoby biorcę udział w akcji ratunkowej, mają prawo wejść do pomieszczeń w których przetwarzane są dane osobowe bez dopełniania obowiązku, o którym mowa w § 11 ust. 5 Polityki.
  3. W przypadku ogłoszenia alarmu ewakuacyjnego użytkownicy, przebywający w pomieszczeniach, w których przetwarzane są dane osobowe, obowiązani są do przerwania pracy, a w miarę możliwości przed opuszczeniem tych pomieszczeń do:

1) zamknięcia systemu informatycznego,

2) zabezpieczenia danych osobowych gromadzonych w kartotekach.

  1. W czasie trwania akcji ratunkowej i po jej zakończeniu Administrator ochrony danych oraz obecni użytkownicy powinni, w miarę możliwości, zabezpieczać dane osobowe przed nieuprawnionym do nich dostępem.
  2. Obowiązek ten ciąży w równym stopniu na innych pracownikach Administratora Danych, obecnych przy akcji ratunkowej.

  • 14

Postanowienia końcowe

 

  1. Polityka jest dokumentem wewnętrznym i nie może być udostępniania osobom nieupoważnionym w żadnej formie.
  2. Kierownicy komórek organizacyjnych są obowiązani zapoznać z treści Polityki każdego użytkownika.
  3. Użytkownik zobowiązany jest złożyć oświadczenie, o tym, i został zaznajomiony
    z przepisami ustawy o ochronie danych osobowych, wydanymi na jej podstawie aktami wykonawczymi, obowiązującą Polityką bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
  4. Oświadczenia przechowywane są w aktach personalnych pracownika.
  5. W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie przepisy ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych.
  6. Użytkownicy zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce.