POLITYKA PRYWATNOŚCI

ANGELLA OFICJALNY SKLEP INTERNETOWY
Sprzedaż wyłącznie hurtowa!

Polityka Bezpieczeństwa

Przetwarzania Danych Osobowych

w

firmie prowadzonej przez Roberta Berlińskiego pod nazwą ANGELLA, IMPRESSION

Łódź, 2019 rok

  1. Wstęp 
  2. II.Definicje 
  3. III.Zakres stosowania 
  4. IV.Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposobów ich zabezpieczeń 
  5. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbioru danych i sposób przepływu tych danych między systemami 
  6. VI.Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych 
  7. VII.Instrukcja postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych 
  8. VIII.Zadania Administratora Danych 
  9. IX.Zadania Administratora Systemu Informatycznego  
  10. X.Sprawozdanie roczne stanu systemu ochrony danych osobowych 
  11. XI.Szkolenia użytkowników 
  12. XII.Postanowienia końcowe 
  1. Wstęp 

§ 1

Celem Polityki Bezpieczeństwa Przetwarzania Danych Osobowych, zwanej dalej Polityką Bezpieczeństwa, w firmie prowadzonej przez Roberta Berlińskiego pod nazwą ANGELLA, IMPRESSION NIP: 7711184630, zwanym dalej PRZEDSIĘBIORCĄ, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe, a przede wszystkim zapewnienie ochrony danych osobowych przetwarzanych przez PRZEDSIĘBIORCĘ przed wszelkiego rodzaju zagrożeniami, tak zewnętrznymi, jak i wewnętrznymi.

§ 2

Polityka Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Opracowany dokument jest zgodny również z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

§ 3

Obszarem przetwarzania danych osobowych są wydzielone pomieszczenia w budynkach siedziby PRZEDSIĘBIORCY oraz dodatkowych stałych miejscach wykonywania przez niego działalności gospodarczej określonych każdorazowo w CEDiG, którymi na datę sporządzenia niniejszego dokumentu:

  1. woj. ŁÓDZKIE, pow. łódzki wschodni, gm. Rzgów, miejsc. Rzgów, ul. Rzemieślnicza, nr 35, 95-030, poczta Rzgów, opis miejsca C.H. “PTAK” G2-210  
  2. Polska, woj. MAZOWIECKIE, pow. piaseczyński, gm. Lesznowola, miejsc. Jabłonowo, ul. Nadrzeczna, nr 7A, 05-552, poczta Lesznowola, opis miejsca HALA 1 EACC ALEJA B BOX 26 

§ 4

Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników.

§ 5

  1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych przez PRZEDSIĘBIORCĘ rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych. 
  2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić: 
  1. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom; 
  2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; 
  3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie; 
  4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej; 
  5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne; 
  6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych. 

§ 6

Administratora Bezpieczeństwa Informacji nie powołuje się.

§ 7

Do zadań Administratora danych PRZEDSIĘBIORCY w zakresie danych osobowych należy przede wszystkim przestrzeganie przepisów o ochronie danych osobowych, w szczególności poprzez:

  1. sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 
  2. nadzorowanie opracowania i aktualizacja dokumentacji opisującej sposób przetwarzania danych oraz przestrzegania zasad w niej określonych, jak również zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; 
  3. zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.  
  1. Definicje 

§ 8

Przez użyte w Polityce Bezpieczeństwa określenia należy rozumieć:

  1. Polityka Bezpieczeństwa – niniejszy dokument – Politykę Bezpieczeństwa Ochrony Danych Osobowych w firmie prowadzonej przez Roberta Berlińskiego pod nazwą ANGELLA, IMPRESSION; 
  2. 2)Administrator Danych Osobowych – dalej jako Administrator danych; podmiot zajmujący się przetwarzaniem danych osobowych. Administratorem danych osobowych jest PRZEDSIĘBIORCA, w której imieniu działa Robert Berliński lub osoba upoważniona przez niego.  
  3. 3)Siedziba – adres, pod którym PRZEDSIĘBIORCA ma siedzibę główną, obejmujący wszelkie pomieszczenia budynku zajmowane na cele związane z prowadzeniem działalności przez PRZEDSIEBIORCĘ; 
  4. 4)Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 
  5. 5)Rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 
  6. 6)Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; 
  7. Zbiór danych osobowych – każdy posiadający strukturę   zestaw   danych   o   charakterze   osobowym,   dostępnych   według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; w szczególności w: kartotekach, skorowidzach, księgach, wykazach, rejestrach, systemach informatycznych itd.; 
  8. Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe; 
  9. Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą. 
  10. Przetwarzane danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; 
  11. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych; 
  12. System tradycyjny – zespół procedur organizacyjnych wyposażenia i środków trwałych, związanych z mechanicznym przetwarzaniem informacji, w celu przetwarzania danych osobowych na papierze; 
  13. 13)Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; 
  14. 14)Administrator Systemu Informatycznego – zwany dalej ASI – informatyk współpracujący z PRZEDSIĘBIORCĄ wyznaczony przez Administratora Danych Osobowych do nadzorowania i zarządzania systemami informatycznymi PRZEDSIĘBIORCY, a w przypadku braku jego powołania obowiązki ASI przejmuje Administrator Danych Osobowych;  
  15. Użytkownik – osoba, która na podstawie upoważnienia do przetwarzania danych osobowych PRZEDSIĘBIORCY, nadanego przez Administratora danych lub osobę przez niego upoważnioną, jest uprawniona do przetwarzania danych osobowych w systemie informatycznym. 
  16. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). 
  1. Zakres stosowania 

§ 9

  1. PRZEDSIĘBIORCA jako Administrator danych osobowych przetwarza dane osobowe dla realizacji celów statutowych oraz określonych przepisami prawa.  
  2. PRZEDSIĘBIORCA jako Administrator danych osobowych przetwarza dane osobowe swoich pracowników w zakresie określonym przepisami prawa pracy.  

§ 10

  1. Dostęp do zbioru danych osobowych oraz do ich przetwarzania mogą mieć wyłącznie osoby, które uzyskały pisemne upoważnienie wydane przez PRZEDSIĘBIORCĘ. Wzór upoważnienia stanowi załącznik nr 1 do Polityki Bezpieczeństwa.  
  2. Ewidencję osób uprawnionych do przetwarzania danych osobowych prowadzi Administrator Danych Osobowych lub osoba przez niego upoważniona w tym zakresie. Wzór ewidencji osób uprawnionych do przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.  
  3. Osoba, która uzyskała upoważnienie do dostępu do zbioru danych osobowych i ich przetwarzania zostanie przeszkolona przez Administratora Danych Osobowych lub osobę/podmiot przez niego wskazany w zakresie stosowania przepisów dotyczących ochrony danych osobowych. Fakt odbycia szkolenia jest potwierdzany oświadczeniem stanowiącym załącznik nr 3 do niniejszej Polityki Bezpieczeństwa i podpisany przez osobę, która uzyskała upoważnienie.  
  4. Upoważnienie, o którym mowa w pkt. 1, oraz oświadczenie, o którym mowa w pkt. 3, są gromadzone przez Administratora Danych Osobowych w  aktach osobowych osób, jeśli są one pracownikami PRZEDSIĘBIORCY. Wykaz upoważnionych pracowników jest aktualizowany na bieżąco.  
  5. PRZEDSIĘBIORCA może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie przetwarzanie danych osobowych zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Podmiot ten może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie, a jej treść musi obejmować klauzulę dotyczącą powierzenia przetwarzania danych osobowych stanowiącą załącznik nr 4 do niniejszej Polityki Bezpieczeństwa.  

§ 11

Zakresy ochrony danych osobowych określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych, w których są przetwarzane dane osobowe, a w szczególności do:

  1. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie; 
  2. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie; 
  3. wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy i innych osób mających dostęp do informacji podlegających ochronie. 

§ 12

Informacje niejawne nie są objęte zakresem niniejszej Polityki Bezpieczeństwa.

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposobów ich zabezpieczeń 

§ 13

  1. Niniejsza Polityka Bezpieczeństwa obowiązuje w budynkach, pomieszczeniach lub częściach pomieszczeń, do których PRZEDSIĘBIORCY przysługuje prawo własności lub inny tytuł prawny do władania nimi, a w których przetwarzane są dane osobowe. 
  2. Dane osobowe, o których mowa w niniejszym dokumencie przetwarzane są w: 
  1. siedzibie głównej PRZEDSIĘBIORCY – woj. ŁÓDZKIE, pow. łódzki wschodni, gm. Rzgów, miejsc. Rzgów, ul. Rzemieślnicza, nr 35, 95-030, poczta Rzgów, opis miejsca C.H. “PTAK” G2-210  
  2. pozostałych miejscach wykonywania działalności: 

– Polska, woj. MAZOWIECKIE, pow. piaseczyński, gm. Lesznowola, miejsc. Jabłonowo, ul. Nadrzeczna, nr 7A, 05-552, poczta Lesznowola, opis miejsca HALA 1 EACC ALEJA B BOX 26

  1. Obszar, w którym przetwarzane są dane osobowe przez PRZEDSIĘBIORCĘ to budynki, pomieszczenia lub części pomieszczeń ujęte w załączniku nr 5 do niniejszej Polityki Bezpieczeństwa.  
  2. W celu ograniczenia dostępu osób postronnych do obszaru, w którym przetwarzane są dane osobowe, zastosowano następujące środki: 
  1. Budynki, w których przetwarzane są dane osobowe, poza godzinami pracy, chronione są alarmem, 
  2. urządzenia służące do przetwarzania danych osobowych umieszcza się w zamykanych pomieszczeniach, zgodnie z opisem przedstawionym w § 15 niniejszego dokumentu. 
  1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbioru danych i sposób przepływu tych danych między systemami 

§ 14

  1. Dane osobowe w zbiorach są przetwarzane w systemie informatycznym oraz w wersji papierowej tj. w aktach, kartotekach, księgach, skorowidzach, rejestrach, wykazach oraz innych zbiorach ewidencyjnych prowadzonych przez PRZEDSIĘBIORCĘ. 
  2. Zbiory danych osobowych wraz z opisem ich struktury wskazaniem programów zastosowanych do ich przetwarzania i sposobu przepływu tych danych pomiędzy poszczególnymi systemami określa załącznik nr 6 do niniejszej Polityki Bezpieczeństwa.  
  1. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych 

§ 15

  1. Zabezpieczenia organizacyjne  
  1. sporządzono i wdrożono Politykę Bezpieczeństwa; 
  2. sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych; 
  3. do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez Administratora danych bądź osobę przez niego upoważnioną; 
  4. stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych; 
  5. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego; 
  6. osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy; 
  7. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych; 
  8. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych; 
  9. pracownicy PRZEDSIĘBIORCY zobowiązani są do zachowania w tajemnicy udostępnionych im danych osobowych przetwarzanych przez PRZEDSIĘBIORCĘ. Wzór oświadczenia stanowi załącznik nr 7 do niniejszej Polityki Bezpieczeństwa.  
  10. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia,  
  11. Dane osobowe nieeksploatowane na bieżąco przechowywane są w wydzielonych miejscach stanowiących archiwum, 
  12. dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po usunięciu danych nie była możliwa identyfikacja osób. 
  1. Zabezpieczenia techniczne 
  1. wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą Rutera, który jest bramą sieciową wraz z funkcją  sprzętowego FireWall-a. 
  2. stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową, 
  3. komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cyklicznej zmiany hasła raz w miesiącu,  
  4. zainstalowano oprogramowanie do tworzenia i zarządzania kopiami zapasowymi danych,  
  5. Komputery mają dostęp do internetu. Podłączenie do internetu jest przez serwer główny, służący jako brama dla całej firmy. Skonfigurowany firewall blokuje wszystkie połączenia zewnętrzne.  

Strona internetowa PRZEDSIĘBIORCY oraz poczta mailowa znajdują się poza jej siedzibą, na zewnętrznym hostingu oferowanym przez seohost.pl.

  1. Środki ochrony fizycznej: 
  1. siedzibie głównej PRZEDSIĘBIORCY – woj. ŁÓDZKIE, pow. łódzki wschodni, gm. Rzgów, miejsc. Rzgów, ul. Rzemieślnicza, nr 35, 95-030, poczta Rzgów, opis miejsca C.H. “PTAK” G2-210  

– pomieszczenia, w których przetwarzane są dane osobowe zabezpieczono drzwiami zamykanymi na klucz. Dostęp do wybranych budynków oraz pomieszczeń objęty jest systemem kontroli – alarmem antywłamaniowym,

– drzwi wejściowe do budynku  są zabezpieczone zamkami, zamocowane tak, aby ich otwarcie mogło nastąpić jedynie przez osoby uprawnione,

– pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy,

– dokumenty zawierające dane osobowe przechowywane są w szafach zamykanych na klucz,

– dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone
w sposób mechaniczny za pomocą niszczarek dokumentów.

  1. pozostałych miejscach wykonywania działalności: 

– Polska, woj. MAZOWIECKIE, pow. piaseczyński, gm. Lesznowola, miejsc. Jabłonowo, ul. Nadrzeczna, nr 7A, 05-552, poczta Lesznowola, opis miejsca HALA 1 EACC ALEJA B BOX 26

pomieszczenia, w których przetwarzane są dane osobowe zabezpieczono drzwiami zamykanymi na klucz. Dostęp do wybranych budynków oraz pomieszczeń objęty jest systemem kontroli – alarmem antywłamaniowym,

drzwi wejściowe do budynku  są zabezpieczone zamkami, zamocowane tak, aby ich otwarcie mogło nastąpić jedynie przez osoby uprawnione,

pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy,

dokumenty zawierające dane osobowe przechowywane są w szafach zamykanych na klucz,

dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone
w sposób mechaniczny za pomocą niszczarek dokumentów.

pomieszczenia, w których przetwarzane są dane osobowe zabezpieczono drzwiami zamykanymi na klucz. Dostęp do wybranych budynków oraz pomieszczeń objęty jest systemem kontroli – alarmem antywłamaniowym,

drzwi wejściowe do budynku  są zabezpieczone zamkami, zamocowane tak, aby ich otwarcie mogło nastąpić jedynie przez osoby uprawnione,

pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolnostojącej gaśnicy,

dokumenty zawierające dane osobowe przechowywane są w szafach zamykanych na klucz,

dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone
w sposób mechaniczny za pomocą niszczarek dokumentów.

  1. Instrukcja postępowania w przypadku zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych 

§ 16

  1. Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości. 
  2. Każdy użytkownik w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować Administratora danych lub osobę przez niego upoważnioną w tym zakresie. 
  3. Do typowych zagrożeń bezpieczeństwa danych osobowych należą: 
    1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, 
    2. niewłaściwe zabezpieczenie sprzętu, oprogramowania przed utratą, kradzieżą lub zmianą danych osobowych, 
    3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników. 
  1. Do typowych zdarzeń naruszających bezpieczeństwo danych osobowych należą: 
    1. zdarzenia losowe zewnętrzne (np. pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności), 
    2. zdarzenia losowe wewnętrzne (np. awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych), 
    3. umyślne incydenty (np. włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). 
  1. W przypadku stwierdzenia wystąpienia zagrożenia, Administrator danych lub osoba przez niego upoważniona w tym zakresie prowadzi postępowanie wyjaśniające w toku, którego: 
    1. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki, 
    2. inicjuje ewentualne działania dyscyplinarne, 
    3. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości, 
    4. dokumentuje prowadzone postępowania. 
  1. W przypadku stwierdzenia zdarzeń naruszających bezpieczeństwo danych osobowych Administrator danych lub osoba przez niego upoważniona w tym zakresie prowadzi postępowanie wyjaśniające w toku, którego: 
    1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały, 
    2. zabezpiecza ewentualne dowody, 
    3. ustala osoby odpowiedzialne za naruszenie, 
    4. podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody), 
    5. inicjuje działania dyscyplinarne, 
    6. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości, 
    7. dokumentuje prowadzone postępowania. 
  1. VIII.Zadania Administratora Danych 

§ 17

Do najważniejszych obowiązków Administratora danych należy:

1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych,

2. zapewnienie przetwarzania danych osobowych zgodnie z uregulowaniami Polityki Bezpieczeństwa,

3. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,

4. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,

5. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych, prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,

6. nadzór nad bezpieczeństwem danych osobowych,

7. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

8. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

9. powoływanie i odwoływanie Administratora Systemu Informatycznego.

  1. IX.Zadania Administratora Systemu Informatycznego  

§ 18

  1. Do obsługi technicznej systemu informatycznego upoważniony jest wyłącznie ASI, a w przypadku braku jego powołania Administrator Ochrony Danych Osobowych.  
  2. Uprawnienia ASI są nadawana przez Administratora danych na podstawie wzoru upoważnienia stanowiącego załącznik nr 8 do niniejszej Polityki Bezpieczeństwa. ASI jest uprawniony do podejmowania wszelkich działań wynikających z upoważnienia jak również z treści postanowień Polityki Bezpieczeństwa i Instrukcji zarządzania. 
  3. ASI nadzoruje, z upoważnienia Administratora danych, przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w systemie informatycznym.  

§ 19

  1. Administrator Systemu Informatycznego, jeśli zostanie powołany, jest odpowiedzialny za: 
  1. Bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych, 
  2. Optymalizację wydajności systemu informatycznego, baz danych, instalację i konfigurację sprzętu sieciowego i serwerowego, 
  3. Instalacje, konfiguracje i administrowanie oprogramowaniem systemowym, sieciowym oraz bazodanowym w sposób zabezpieczający dane osobowe przed nieupoważnionym dostępem, 
  4. Nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych. 
  5. Współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz nadzór nad wdrożeniem klauzuli o ochronie danych osobowych w umowach z tymi podmiotami lub innych dokumentach, 
  6. Zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego, 
  7. Zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie, 
  8. Przeciwdziałanie próbom naruszenia bezpieczeństwa informacji, 
  9. Przyznawanie użytkownikom na wniosek Administratora danych ściśle określonych praw dostępu do informacji w danym systemie, 
  10. Wnioskowanie do Administratora danych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń, 
  11. Prowadzenie profilaktyki antywirusowej. 
  1. ASI zobowiązany do: 
  1. ASI nadzoru nad przestrzeganiem stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w systemie informatycznym.  
  2. obsługi technicznej systemu informatycznego 
  3. nadawania użytkownikowi identyfikator oraz określenia pierwszego hasła dostępu,  
  4. tworzenie kopii zapasowych w systemie informatycznych,  
  5. niezwłocznego wyrejestrowania z systemu identyfikatora osoby, która utraciła uprawnienia dostępu do systemu informatycznego zawierającego dane osobowe w sposób uniemożliwiający korzystanie przez tego użytkownika z systemu informatycznego,   
  6. podejmowania działań w przypadku wykrycia wirusa komputerowego, a także stwierdzenia innego niepoprawnego działania systemu informatycznego, 
  7. Podejmowania działań w przypadku zablokowania użytkownika  w systemie informatycznym na skutek wprowadzenia trzykrotnie błędnego hasła do systemu, jak i we wszelkich przypadkach zablokowania, naruszenia lub niepoprawnego działania systemu informatycznego, 
  8. Udzielania upoważnień w zakresie dokonywania zmian w systemie informatycznym dotyczących dostępu do programów komputerowych. 
  1. ASI może być uprawniony przez Administratora danych do: 
  1. nadzorowania bieżących napraw w dziedzinie konserwacji i napraw, 
  2. przygotowania sprawozdania rocznego w zakresie funkcjonowania systemu ochrony danych osobowych.  
  1. Praca Administratora Systemu Informatycznego jest nadzorowana pod względem przestrzegania ustawy o ochronie danych osobowych, Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz Polityki Bezpieczeństwa przez Administratora danych lub Administratora Bezpieczeństwa Informacji. 

§ 20

  1. Pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych w systemie informatycznym PRZEDSIĘBIORCY, ASI przydziela odrębny identyfikator i hasło początkowe oraz uprawnienia do określonych programów. 
  2. Identyfikator podlega wpisowi do ewidencji pracowników zatrudnionych przy przetwarzaniu danych osobowych – załącznik nr 2. 
  3. ASI niezwłocznie wyrejestrowuje z systemu identyfikator osoby, która utraciła uprawnienia dostępu do systemu informatycznego zawierającego dane osobowe.  
  4. Wszelkie zmiany w systemie informatycznym dotyczące dostępu do programów komputerowych możliwe są tylko na podstawie upoważnienia wydanego przez ASI.  
  1. Sprawozdanie roczne stanu systemu ochrony danych osobowych 

§ 21

  1. Administrator danych może zlecić ASI lub innej osobie posiadającej uprawnienie do przetwarzania danych osobowych PRZEDSIĘBIORCY przygotowanie sprawozdania rocznego w zakresie funkcjonowania systemu ochrony danych osobowych.  
  2. W razie potrzeby Administrator danych może zorganizować spotkanie sprawozdawcze  z udziałem osoby zobowiązanej do przygotowania sprawozdania, o której mowa w pkt. 1.  
  3. Sprawozdanie przygotowywane jest w formie pisemnej. 
  1. Szkolenia użytkowników 

§ 22

  1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych. 
  2. Za przeprowadzenie szkolenia odpowiada Administrator danych. 
  3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz instrukcjami obowiązującymi u Administratora danych, a także o zobowiązaniu się do ich przestrzegania.  
  4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia odpowiadającego treści załącznika nr 3 do niniejszej Polityki Bezpieczeństwa. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe. 
  1. Postanowienia końcowe 

§ 23

  1. Polityka Bezpieczeństwa jest dokumentem wewnętrznym i nie może być udostępniania osobom postronnym w żadnej formie. 
  2. Administrator danych ma obowiązek zapoznać z treścią Polityki Bezpieczeństwa każdego użytkownika. 
  3. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce Bezpieczeństwa dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie. 
  4. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce Bezpieczeństwa. 
  5. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne. 
  6. Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą, oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. 
  7. W sprawach nieuregulowanych w Polityce Bezpieczeństwa mają zastosowanie przepisy ustawy oraz rozporządzenia.