Lalka taka jak Ty
Lalka taka jak Ty

Polityka bezpieczeństwa RODO

Szczecin, dnia 23.05.2018 roku



Celem Polityki bezpieczeństwa sklepu internetowego La Lalla, prowadzonego przez działające w ramach spółki cywilnej Monikę Krawczyńską i Sandrę Mianowską (La lalla S. C. Monika Krawczyńska, Sandra Mianowska), jest wdrożenie zasad i zapewnienie zachowania staranności wymaganej podczas przetwarzania i zabezpieczania danych osobowych zgodnie z wymogami prawa, dotyczącymi zasad ich przetwarzania i zabezpieczenia, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).

 

§ 1. Definicje:

Ilekroć w Polityce bezpieczeństwa jest mowa o:

  1. Administratorze Danych – należy przez to rozumieć Monikę Krawczyńską i Sandrę Mianowską (La lalla S. C. Monika Krawczyńska, Sandra Mianowska), ul. Unisławy 13a, 71-402 Szczecin; numer telefonu: 662 100 064;adres e-mail: kontakt@la-lalla.pl;
  2. Dane osobowe – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  3. Podmiot przetwarzający – należy przez to rozumieć osobę fizyczną lub jednostkę organizacyjną, która przetwarza Dane osobowe w imieniu Administratora na podstawie umowy o powierzenia przetwarzana danych osobowych;
  4. Przetwarzanie danych – należy przez to rozumieć operację lub zestaw operacji wykonywanych na Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (to jest poprzez Systemy informatyczne), taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  5. Sklep – sklep internetowy La Lalla, prowadzony przez Administratora danych, działający pod domeną //www.la-lalla.pl/;
  6. Strona trzecia – należy przez to rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, Administrator danych, Podmiot przetwarzający lub Użytkownik, które mogą przetwarzać Dane osobowe;
  7. System informatyczny – należy przez to rozumieć skonfigurowany ze sobą zespół sprzętu i oprogramowania, którego funkcją jest przetwarzanie danych, w tym zautomatyzowane przetwarzanie Danych osobowych, przy użyciu techniki komputerowej, wraz z elementami organizacyjnymi i informacyjnymi, wykorzystywany przez Administratora Danych do prowadzenia Sklepu;
  8. Użytkownik – należy przez to rozumieć osobę przetwarzającą Dane osobowe na podstawie upoważnienia udzielonego przez Administratora Danych;
  9. Zbiór danych – należy przez to rozumieć każdy uporządkowany zestaw danych o charakterze osobowym, dostępny według określonych kryteriów.

 

§ 2. Postanowienia ogólne

  1. Polityka bezpieczeństwa dotyczy wszystkich Danych osobowych przetwarzanych przez Administratora danych, niezależnie od formy przetwarzania.
  2. Polityka bezpieczeństwa została sporządzona w formie pisemnej i jest przechowywana w siedzibę Administratora danych.
  3. Jednobrzmiąca z pisemną elektroniczna forma Polityki bezpieczeństwa jest udostępniania Podmiotom przetwarzającym i Użytkownikom, w celu zapoznania z zasadami przetwarzania i zabezpieczania Danych osobowych wykorzystywanych w ramach działalności Sklepu przez Administratora danych.
  4. W celu wdrożenia i realizacji Polityki bezpieczeństwa Administrator Danych zapewnia:
    1. odpowiednie do zagrożeń i kategorii Danych objętych ochroną środki techniczne i rozwiązania organizacyjne,
    2. kontrolę i nadzór nad Przetwarzaniem Danych osobowych,
    3. monitorowanie zastosowanych środków ochrony.
  5. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje m.in.: nadzór nad działaniami Użytkowników i kontrolę Podmiotów przetwarzających; informowanie właściwych organów o naruszeniu bezpieczeństwa Danych osobowych zasad ochrony do danych; analizę przyjętych metod ochrony Danych osobowych, w tym zapewnienia integralności plików oraz skuteczności ochrony Danych przed atakami zewnętrznymi oraz wewnętrznymi.
  6. Administrator Danych podejmuje wszelkie działania, które są celowe, uzasadnione i proporcjonalne w celu zapewnienia, aby czynności wykonywane w związku z przetwarzaniem i zabezpieczeniem Danych osobowych były zgodne z Polityką bezpieczeństwa oraz przepisami prawa.

§ 3. Przetwarzanie danych przez Administratora danych

  1. Dane osobowe przetwarzane przez Administratora uporządkowane są w Zbiorach danych.
  2. Przetwarzanie danych przez Administratora danych nie będzie obejmowało czynności, które mogłyby wiązać się z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób, których Dane dotyczą. W przypadku planowania takiego działania Administrator wykona czynności oceny skutków dla ochrony danych, o których mowa w art. 35 i n. RODO.
  3. W przypadku planowania nowych czynności przetwarzania Danych osobowych w celach innych niż te, dla których zostały pozyskane, Administrator danych uzyska dla tych czynności ponowną zgodę osoby, której Dane dotyczą. Jedocześnie Administrator danych dokona analizy ich skutków dla ochrony danych osobowych oraz uwzględni kwestie ochrony danych w fazie projektowania nowych czynności.
  4. Administrator danych może prowadzić rejestr czynności przetwarzania według wzoru stanowiącego Załącznik nr 1 do Polityki bezpieczeństwa.

§ 4. Zarządzania bezpieczeństwem Danych osobowych

  1. Administrator danych, Podmioty przetwarzające i Użytkownicy zobowiązani są do przetwarzania Danych osobowych zgodnie z obowiązującymi przepisami oraz Polityką bezpieczeństwa, Instrukcją Korzystania z Systemu Informatycznego, a także innymi dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych osobowych.
  2. Instrukcja Korzystania z Systemu Informatycznego stanowi Załącznik nr 2 do Polityki bezpieczeństwa.
  3. Przetwarzanie wszystkich Danych osobowych zawsze wymaga zachowania w szczególności następujących zasad:
    1. przetwarzanie Danych osobowych zawsze wymagana istnienia przynajmniej jednej z przewidzianych przepisami RODO podstaw dla przetwarzania danych;
    2. Dane osobowe przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą;
    3. Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
    4. Dane osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla osiągnięcia celu przetwarzania danych;
    5. Dane osobowe są prawidłowe i w razie potrzeby uaktualniane;
    6. czas przechowywania Danych jest ograniczony do okresu ich przydatności do celów, do których zostały zebrane, a po tym okresie są one anonimizowane bądź usuwane, chyba że ich dalsze przetwarzanie jest niezbędne ze względu na prawnie uzasadnione interesy Sklepu lub Administratora Danych;
    7. wobec osób, których Dane dotyczą, zawsze koniecznej jest wykonanie obowiązku informacyjnego zgodnie z treścią art. 13 i art. 14 RODO;
    8. Dane są zabezpieczone przed naruszeniami zasad ich ochrony.
  4. Naruszenie lub usiłowanie naruszenia zasad przetwarzania i ochrony Danych osobowych stanowi:
    1. naruszenie bezpieczeństwa Systemów informatycznych, w których przetwarzane są Dane osobowe;
    2. udostępnianie lub pomocnictwo w udostępnieniu Danych podmiotom do tego nieupoważnionym;
    3. zaniechanie, w tym nieumyślne, dopełnienia obowiązku zapewnienia ochrony Danych osobowych;
    4. niedopełnienie obowiązku zachowania poufności Danych osobowych oraz zasad i sposobów ich zabezpieczenia;
    5. przetwarzanie Danych osobowych niezgodnie z założonym zakresem i celem, w jakim zostały przekazane;
    6. uszkodzenie, utratę, niekontrolowaną zmianę lub nieuprawnione kopiowanie Danych osobowych;
    7. naruszenie praw osób, których Dane dotyczą, w tym w szczególności praw, o których mowa w art. 15-18 RODO.
  5. W przypadku stwierdzenia istnienia bezpośredniego ryzyka naruszenia Danych lub naruszenia zasad ochrony danych osobowych Administrator danych, Podmiot przetwarzający lub Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych działań, mających na celu zapobieżenie naruszeniu i ograniczenie skutków ewentualnego naruszenia.
  6. Do obowiązków Administratora Danych w zakresie zatrudniania pracowników, na podstawie umów o pracę lub umów cywilnoprawnych, którzy w ramach swoich obowiązków będą przetwarzali Dane osobowe, należy:
    1. odpowiednie przeszkolenie pracowników w zakresie przepisów i zasad ochrony Danych osobowych, w tym zapoznanie z Polityką bezpieczeństwa i Instrukcją Korzystania z Systemu Informatycznego,
    2. udzielenie pracownikom pisemnego upoważnienia do przetwarzania danych zgodnie z wzorem stanowiącym Załącznik nr 3 do Polityki bezpieczeństwa,
    3. odebranie od pracowników zobowiązania do zachowania Danych osobowych w tajemnicy.
  7. Użytkownicy zobowiązani są do:
    1. ścisłego przestrzegania zakresu nadanego upoważnienia;
    2. przetwarzania i ochrony Danych osobowych zgodnie z przepisami i zasadami ochrony Danych;
    3. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
    4. zgłaszania naruszeń i usiłowania naruszenia Danych osobowych i innych zdarzeń mogących mieć wpływ na bezpieczeństwo ochrony Danych, w tym w zakresie funkcjonowania Systemu informatycznego.

§ 5. Miejsce przetwarzania danych osobowych

Dane osobowe przetwarzane są siedzibie Administratora danych oraz we wszystkich miejscach wykorzystywanych przez System informatyczny, o ile jest to niezbędne do jego prawidłowego funkcjonowania.

 

§ 6. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych Danych

  1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych Danych.
  2. Zastosowane środki ochrony powinny być adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych.
  3. Niezbędne środki ochrony obejmują:
    1. ograniczenie dostępu do pomieszczeń siedziby Administratora wyłącznie dla Administratora, Podmiotów przetwarzających i Użytkowników i ich właściwe zabezpieczenie pod nieobecność tych osób,
    2. zapewnienie ścisłej kontroli osób nieupoważnionych do przetwarzania Danych osobowych podczas ich obecności w siedzibie Administratora danych,
    3. korzystanie z zamykanych na klucz szafek, szuflad i sejfów do przechowywania materiałów i nośników zawierających Dane osobowe,
    4. korzystanie z niszczarek do niszczenia materiałów i nośników zawierających Dane osobowe,
    5. korzystanie z oprogramowania do ochrony sieci lokalnej przed zewnętrzną ingerencją i działaniem złośliwego oprogramowania,
    6. tworzenia kopii awaryjnych Danych
    7. ochronę Systemu informatycznego przed złośliwym oprogramowaniem,
    8. ograniczenie dostępu do Systemu informatycznego przy pomocy indywidualnych kont i haseł Podmiotów przetwarzających i Użytkowników,
    9. wykorzystanie szyfrowania Danych przy ich transmisji, o ile transmisja będzie związana z poważnym prawdopodobieństwem wysokiego ryzyka naruszenia prawi i wolności osób, których Dane dotyczą.

 

§ 7. Naruszenie zasad ochrony danych osobowych

  1. W przypadku stwierdzenia naruszenia ochrony Danych osobowych Administrator danych dokonuje oceny, czy naruszenie spowodowało lub mogło spowodować ryzyko naruszenia praw lub wolności osób, których Dane dotyczą.
  2. Jeżeli naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osoby, której Dane dotyczą , Administrator zawiadamia tę osobę o fakcie naruszenia.
  3. Jeżeli naruszenie spowodowało ryzyko naruszenia praw lub wolności osób, których Dane dotyczą, Administrator danych zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, według wzoru zgłoszenia określonego w Załączniku nr 4 do Polityki bezpieczeństwa.

§ 8. Powierzenie przetwarzania danych osobowych

  1. Administrator danych może powierzyć Przetwarzanie Danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, o ile podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by Przetwarzanie spełniało wymogi przepisów RODO i chroniło prawa osób, których Dane dotyczą.
  2. Przed zawarciem umowy o powierzenie przetwarzania Danych osobowych Administrator danych w miarę możliwości uzyskuje informacje o dotychczasowych praktykach podmiotu, z którym umowa ma zostać zawarta, w celu sprawdzenia, czy podmiot ten zapewnia gwarancje, o których mowa w ust. 1.
  3. Umowa o powierzenie przetwarzania Danych osobowych będzie zawierana według wzoru stanowiącego Załącznik nr 5 do Polityki bezpieczeństwa.

 

§ 9. Przekazywanie danych do państwa trzeciego

Administrator danych nie będzie przekazywał Danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosekosoby, której Dane dotyczą.

 

§ 10. Postanowienia końcowe

  1. Naruszenie zasad Polityki bezpieczeństwa przez Użytkowników będzie powodowało odpowiedzialność określoną w Kodeksie pracy i przepisach o ochronie Danych osobowych.
  2. Naruszenie zasad Polityki bezpieczeństwa przez Podmiot przetwarzający będzie powodowało odpowiedzialność określoną w Kodeksie cywilnym i przepisach o ochronie Danych osobowych.
  3. Załącznikami do Polityki bezpieczeństwa są:
  1. wzór Rejestru czynności przetwarzania danych osobowych – Załącznik nr 1,
  2. Instrukcja Korzystania z Systemu Informatycznego – Załącznik nr 2,
  3. wzór Upoważnienia do przetwarzania danych osobowych – Załącznik nr 3,
  4. wzór Zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego – Załącznik nr 4,
  5. wzór Umowy o powierzenie przetwarzania danych osobowych – Załącznik nr 5.
  1. Polityka bezpieczeństwa wchodzi w życie od dnia 25 maja 2018 r.
  2. Dane osobowe zebrane przez Administratora danych przed wejściem w życie Polityki bezpieczeństwa od dnia jej wejścia w życie podlegają przetwarzaniu zgodnie z Polityką bezpieczeństwa.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Monika Krawczyńska – administrator danych

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Sandra Mianowska – administrator danych




Załącznik nr 1 do Polityki bezpieczeństwa

 

Rejestru czynności przetwarzania danych

1.

Administrator danych – nazwa i dane kontaktowe

 

2.

Opis kategorii osób, których dane dotyczą

 

3.

Opis kategorii danych osobowych

 

4.

Cele przetwarzania danych osobowych

 

5.

Kategorie odbiorców, którym dane mają być udostępniane lub mogą być udostępniane

 

6.

Informacja o przekazywaniu danych do państwa trzeciego

 

7.

Przewidywany okres przetwarzania danych/Planowany termin usunięcia danych

 

8.

Opis organizacyjnych środków bezpieczeństwa

 

9.

Opis technicznych środków bezpieczeństwa

 

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Monika Krawczyńska – administrator danych

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Sandra Mianowska – administrator danych




Załącznik nr 2 do Polityki bezpieczeństwa

 

  1. Postanowienia ogólne
  1. Celem Instrukcji Korzystania z Systemu informatycznego wykorzystywanego do obsługi sklepu internetowego La Lalla, prowadzonego przez działające w ramach spółki cywilnej Monikę Krawczyńską i Sandrę Mianowską (La lalla S. C. Monika Krawczyńska, Sandra Mianowska), jest zapewnienie zachowania staranności wymaganej podczas przetwarzania i zabezpieczania danych osobowych zgodnie z wymogami prawa, dotyczącymi zasad ich przetwarzania i zabezpieczenia, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).
  2. Sformułowania zapisane w niniejszej Instrukcji wielkimi literami należy rozumieć zgodnie z definicjami nadanymi im w Polityce bezpieczeństwa, a ponadto ilekroć w niniejszej Instrukcji jest mowa o:
    1. Sieci lokalnej – należy przy to rozumieć połączenie Systemów informatycznych Administratora danych wyłącznie dla własnych potrzeb przy wykorzystaniu urządzeń i sieci telekomunikacyjnych,
    2. Zabezpieczeniu danych w systemie informatycznym – należy przez to rozumieć wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych Przetwarzanych w Systemie informatycznym Administratora danych przed ich nieuprawnionym Przetwarzaniem przez Osoby trzecie,
    3. Identyfikatorze użytkownika – należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący Podmiot przetwarzający lub Użytkownika w Systemie informatycznym Administratora danych w razie Przetwarzania danych osobowych w takim Systemie przez tę osobę,
    4. Haśle – należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do korzystania z Systemu informatycznego Administratora danych.

 

  1. Nadawanie uprawnień do Przetwarzania danych w Systemie informatycznym i rejestrowania tych uprawnień
  1. Administrator danych jest odpowiedzialny za bezpieczeństwo Danych osobowych w Systemie informatycznym.
  2. Do korzystania z Systemu informatycznego w zakresie, w jakim służy on do Przetwarzania Danych osobowych, mogą być dopuszczone wyłącznie Użytkownicy.
  3. Po upoważnieniu osoby do dostępu do przetwarzania Danych osobowych w Systemie informatycznym zostaje jej nadany Identyfikator użytkownika.
  4. Z chwilą nadania Identyfikatora osoba może uzyskać dostęp do Systemu informatycznego w zakresie odpowiednim do danego upoważnienia.
  5. Dla każdej osoby korzystającej z Systemu informatycznego ustalony jest odrębny Identyfikator i Hasło.
  6. Identyfikator użytkownika nie może być zmieniany, a po wyrejestrowaniu Użytkownika z Systemu informatycznego nie może być przydzielony innej osobie.
  7. Identyfikator osoby, która utraciła upoważnienie do przetwarzania Danych osobowych, zostaje niezwłocznie wyrejestrowany z Systemu informatycznego, w którym Dane są przetwarzane, natomiast Hasło zostaje unieważnione oraz zostają podjęte inne działania niezbędne w celu zapobieżenia dalszemu dostępowi tej osoby do Systemu informatycznego.

  1. Metody i środki uwierzytelnienia oraz procedury ich zarządzania i użytkowania
  1. W Systemie informatycznym stosuje się uwierzytelnianie na poziomie dostępu do systemu operacyjnego. Do Uwierzytelnienia podmiotu uprawnionego na poziomie dostępu do systemu operacyjnego stosuje się Hasło oraz Identyfikator.
  2. Hasła umożliwiające dostęp do Systemu informatycznego utrzymuje się w tajemnicy również po upływie ich ważności.
  3. Minimalna długość Hasła wynosi 8 znaków alfanumerycznych i znaków specjalnych.
  4. Zabrania się używania Identyfikatora lub Hasła drugiej osoby.
  5. Dla każdej osoby, której Dane osobowe są przetwarzane w Systemie informatycznym, system zapewnia odnotowanie:
    1. daty pierwszego wprowadzenia danych do Systemu,
    2. Identyfikatora osoby wprowadzającej Dane osobowe do Systemu,
    3. informacji o odbiorcach, którym Dane osobowe zostały udostępnione.

  1. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez Użytkowników systemu
  1. Osoba uprawniona po przyjściu do pracy uruchamia stację roboczą. Przed uruchomieniem komputera należy sprawdzić, czy nie zostały do niego podłączone żadne niezidentyfikowane urządzenia. Po uruchomieniu pracownik loguje się przy pomocy identyfikatora oraz Hasła do Systemu informatycznego.
  2. W trakcie pracy przy każdorazowym opuszczeniu stanowiska komputerowego należy dopilnować, aby na ekranie nie były wyświetlane Dane osobowe.
  3. Przy opuszczaniu stanowiska komputerowego na dłuższy czas należy ustawić ręcznie blokadę klawiatury i wygaszacz ekranu (wygaszacz nie rzadszy niż aktywujący się po 10 min. braku aktywności).
  1. Tworzenie kopii zapasowych
  1. Dla zabezpieczenia integralności danych dokonuje się archiwizacji danych w Systemie informatycznym Administratora danych.
  2. Do archiwizacji służą płyty DVD z zapisem danych z systemu.
  3. Wszystkie dane archiwizowane winny być identyfikowane, tj. zawierać takie informacje jak datę dokonania zapisu oraz identyfikator zapisanych w kopii danych.

  1. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających Dane osobowe oraz kopii zapasowych
  1. Nośniki z kopiami archiwalnymi powinny być zabezpieczone przed dostępem do nich osób nieupoważnionych, przed zniszczeniem czy kradzieżą.
  2. Nośników z danymi zarchiwizowanymi nie należy przechowywać w tych samych pomieszczeniach, w których przechowywane są zbiory Danych osobowych używane na bieżąco.
  3. Nośniki informacji, kopie zapasowe, które nie są przeznaczone do udostępnienia, przechowuje się w warunkach uniemożliwiających dostęp do nich osobom niepowołanym.
  4. Kopie, które są już nieprzydatne, należy zniszczyć fizycznie lub stosując wymazywanie poprzez wielokrotny zapis nieistotnych informacji w obszarze zajmowanym przez dane kasowane.
  5. Zabrania się wynoszenia jakichkolwiek nagranych nośników zawierających dane osobowe z miejsca pracy.

 

  1. Sposób zabezpieczenia Systemu informatycznego przed złośliwym oprogramowaniem, nieuprawnionym dostępem oraz awariami zasilania
  1. System informatyczny jest zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawionego dostępu oraz przed działaniami inicjowanymi z sieci zewnętrznej. Zabezpieczenie obejmuje:
    1. Stacje robocze:
  1. Użytkowany System informatyczny jest automatycznie skanowany z określoną częstotliwością.
  2. Aktualizacja bazy wirusów odbywa się poprzez automatyczne pobieranie bazy wirusów przez program antywirusowy.
  3. W przypadku wykrycia wirusa należy:
    1. uruchomić program antywirusowy i skontrolować użytkowany System,
    2. usunąć wirusa z Systemu przy wykorzystaniu programu antywirusowego.
  4. Jeżeli operacja usunięcia wirusa się nie powiedzie, należy:
    1. zakończyć pracę w Systemie,
    2. odłączyć zainfekowany komputer od sieci,
    3. powiadomić o zaistniałej sytuacji Administratora Danych.
  5. Urządzenia i nośniki zawierające Dane osobowe przekazywane poza obszar, w którym są one przetwarzane, zabezpiecza się w sposób zapewniający poufność i integralność danych.

 

  1. Poczta elektroniczna
  1. Pracownicy mogą korzystać z poczty elektronicznej w celach służbowych w zakresie ograniczonym swoimi obowiązkami.
  2. Administrator danych może poznawać treść wiadomości elektronicznych wykorzystywanych przez pracowników znajdujących się we wszystkich Systemie informatycznym Administratora danych.
  3. Zabronione jest otwieranie wiadomości e-mail pochodzących od nieznanego nadawcy bądź z podejrzanym tytułem (tzw. phishing e-mail). W szczególności zabronione jest otwieranie linków bądź pobieranie plików zapisanych w komunikacji zewnętrznej od nieznanego nadawcy.

 

  1. Sposoby realizacji wymogu zapisania w Systemie informatycznym

informacji o odbiorcach danych

  1. Informacje o odbiorcach danych zapisywane są w Systemie informatycznym, z którego nastąpiło udostępnienie.
  2. Informacja o odbiorcy danych zapisana jest w Systemie informatycznym przy uwzględnianiu daty i zakresu udostępnienia, a także dokładnego określenia odbiorcy danych.
  3. Możliwe jest sporządzenie i wydrukowanie raportu zawierającego, w powszechnie zrozumiałej formie, powyższe informacje.

 

  1. Procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do Przetwarzania danych
  1. Do serwisu Systemu informatycznego mogą być dopuszczone wyłącznie Podmioty przetwarzające, z którymi zostały zawarte umowy zawierające postanowienia zobowiązujące je do przestrzegania zasad poufności informacji uzyskanych w ramach wykonywanych zadań.
  2. Przy dokonywaniu serwisu należy przestrzegać następujących zasad:
    1. czynności serwisowe powinny być wykonywane w obecności osoby upoważnionej, do Przetwarzania danych,
    2. przed rozpoczęciem czynności serwisowych dane i programy znajdujące się w Systemie powinny zostać zabezpieczone przed ich zniszczeniem, skopiowaniem lub niewłaściwą zmianą,
    3. czynności serwisowe należy ewidencjonować w książce zawierającej rodzaj wykonywanych czynności serwisowych, daty rozpoczęcia i zakończenia usługi, odnotowanie osób dokonujących czynności serwisowych, tj. imienia i nazwiska, a także osób uczestniczących w pracach serwisowych.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Monika Krawczyńska – administrator danych

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Sandra Mianowska – administrator danych




Załącznik nr 3 do Polityki bezpieczeństwa - zobacz



Załącznik nr 4 do Polityki bezpieczeństwa - zobacz



Załącznik nr 5 do Polityki bezpieczeństwa - zobacz