Polityka Bezpieczeństwa

Polityka Bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INFORMACJE OGÓLNE

1.
W związku z wejściem w życie ustawy z dnia 10 maja 2018 r. o Ochronie Danych Osobowych, Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r (RODO) oraz obowiązywaniem § 3, 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) niniejszym wprowadza się Politykę bezpieczeństwa ochrony danych osobowych w Yourskillup.pl Sp. z o.o. oraz Instrukcję zarządzania systemem informatycznym stanowiącą załącznik nr 1 do niniejszej Polityki.

2.
Głównym celem wprowadzenia Polityki Bezpieczeństwa jest:

  • zapewnienie bezpieczeństwa przetwarzanych danych w strukturze podległej Administratorowi Danych Osobowych oraz dostosowanie organizacji do standardów RODO, ustawy o ochronie danych osobowych z 2018 r. oraz aktów wykonawczych.

  • wprowadzenie systemu ochrony danych osobowych,

  • inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych w Yourskillup.pl Sp. z o.o.,

  • wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.

ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA ORAZ ZAKRES ZASTOSOWANIA

1. Dokument opisuje zasady i procedury przetwarzania danych osobowych i danych istotnych oraz zabezpieczenia ich przed nieuprawnionym dostępem osób trzecich.

2. Dokument dotyczy pracowników i współpracowników (niezależnie od formy współpracy) Yourskillup.pl Sp. z o.o. przetwarzających dane osobowe, a także każdej osoby mającej dostęp do tychże danych osobowych.

3. Dokument może obejmować również przedsiębiorców, którzy zawrą umowę z Yourskillup.pl Sp. z o.o. na podstawie, której powierzone zostaną im dane osobowe na podstawie osobnych przepisów prawa powszechnie obowiązującego lub wyrażonej zgody.

DEFINICJE, TERMINOLOGIA I INFORMACJE DODATKOWE

1. Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000), zwana dalej „Ustawą"

2. Polityka bezpieczeństwa ochrony danych osobowych – zestaw wewnętrznych regulacji i instrukcji regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych (zwana dalej „Polityką”).

3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej...

[Dokument został sformatowany zgodnie z profesjonalnymi standardami, z podziałem na sekcje i odpowiednim wyróżnieniem nagłówków. Ze względu na objętość dokumentu dalsze formatowanie kontynuowane w kolejnych krokach.]

4. Dane istotne – wszelkie dane, które zdaniem Administratora Danych Osobowych zasługują na szczególną ochronę oraz wobec których powinny być podjęte kroki w celu zapobieżenia ujawnieniu osobom trzecim. Są to dane takie jak: umowy handlowe, dokumenty finansowe, etc.

5. Dane wrażliwe – dane szczególnie chronione przez przepisy prawa. Zgodnie z RODO są to:

  • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,

  • dane genetyczne,

  • dane biometryczne,

  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

  • dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

7. Administrator danych osobowych (Administrator) – Przetwarzający albo podmiot, który zawarł z Przetwarzającym Umowę o powierzeniu przetwarzania danych osobowych.

8. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

9. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

10. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

11. Hasło użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

12. Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą oraz na dalsze przetwarzanie ww. danych.

13. Upoważnienie – dokument upoważniający do przetwarzania danych osobowych.

14. Przetwarzający – YourSkillup.pl Sp. z o.o.

15. Pisemne przekazanie – każda udokumentowana forma dostarczenia informacji (mail, list polecony, pismo za potwierdzeniem odbioru, itp.).

OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH

1. Osobami odpowiedzialnymi za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami Ustawy, RODO, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi są:

  • Administrator Danych Osobowych - YourSkillup.pl Sp. z o.o. z siedzibą w Katowicach (40-156) przy ul. Al. Wojciecha Korfantego 138A (dalej zwana również jako: "Spółka"). Administrator Danych Osobowych przetwarza dane osobowe na podstawie zgody osób przetwarzanych.

  • Inspektor ochrony Danych Osobowych (IOD), jeżeli został powołany, odpowiada za wskazanie standardów i nadzorowanie przestrzegania zasad ochrony danych osobowych w firmie oraz za zabezpieczenie danych osobowych w systemach informatycznych i danych utrwalonych w formie papierowej. W przypadku braku powołania IOD, jego funkcje wykonuje Administrator Danych Osobowych Yourskillup.pl Sp. z o.o. lub osoba przez niego wskazana w formie pisemnej.

  • Osoby wykonujące pracę bądź świadczące usługi cywilnoprawne na rzecz Administratora danych Osobowych.

2. Osoby wymienione w ust. 1 pkt. c uzyskują stosowne upoważnienie do przetwarzania danych osobowych.

3. W przypadku powołania IOD jest on zobowiązany również do:

  • zapewniania przestrzegania przepisów o ochronie danych osobowych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),

  • prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).

4. Oświadczenie potwierdzające cele i zasady bezpieczeństwa danych osobowych.

5. Przetwarzający planuje podjęcie odpowiednich działań dla zapewnienia ochrony i bezpieczeństwa danych osobowych przed wszelkimi zagrożeniami, a w szczególności zagrożeniami wynikającymi z przetwarzania danych w systemach informatycznych. Wyraża się to m.in. poprzez wynajem zewnętrznego serwera zgodnego z przepisami RODO, zapewnienie odpowiednich, zamykanych na klucz szaf, podnoszenie kwalifikacji pracowników w zakresie danych osobowych.

6. Poprzez zapewnienie bezpieczeństwa należy rozumieć stan uniemożliwiający bezprawne przetwarzanie, zmianę, utratę, uszkodzenie lub zniszczenie danych osobowych w firmie przez osoby postronne lub nieupoważnione.

7. Niniejszy dokument został przygotowany z myślą o zapewnieniu standardów bezpieczeństwa danych osobowych w firmie Przetwarzającego ze szczególnym uwzględnieniem zgodności z prawem.

PRACA Z DANYMI OSOBOWYMI

1. W firmie Przetwarzającego praca z danymi powinna być prowadzona wyłącznie przez osoby, którym wystawiono upoważnienie lub gdy wynika to z przepisów lub charakteru świadczonej umowy. Osoby te mają obowiązek:

  • przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityką,

  • chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed ich zniszczeniem,

  • zobowiązać się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia,

  • zobowiązać się do zachowania poufności ww. danych.

2. Upoważnienie zatwierdza Właściciel lub upoważniony przez niego pracownik, a następnie upoważnienie przekazywane jest do akt pracowniczych. Upoważnienie traci moc prawną w momencie ustania okresu, na który zostało udzielone, lub w wypadku:

  • ustania stosunku pracy,

  • zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło,

  • zakończenia kontraktu z kontrahentem zewnętrznym.

3. Dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

4. Zbierane dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Rodzaj i treść danych nie mogą wykraczać poza potrzeby wynikające z celu ich zbierania.

5. Zabronione jest zbieranie danych nieistotnych, niemających znaczenia, danych o większym stopniu szczegółowości niż to wynika z określonego celu.

PRZETWARZANIE DANYCH OSOBOWYCH

1. Dane osobowe przetwarzane są w szczególności poprzez ich:

  • utrwalanie,

  • przechowywanie,

  • opracowywanie,

  • udostępnianie,

  • usuwanie,

  • w szczególności w systemie informatycznym i w formie papierowej.

2. W przypadku powierzenia przetwarzania danych osobowych podmiotom zewnętrznym w imieniu Przetwarzającego na podstawie Umowy, należy zawrzeć pisemną umowę zgodnie z wymogami ustawy i RODO. W przypadku powierzenia przetwarzania danych osobowych kopię stosownej umowy należy przekazać Właścicielowi. Przed podpisaniem Umowy należy zweryfikować, czy podmiot zewnętrzny spełnia ustawowe przesłanki dopuszczalności udostępnienia danych osobowych w drodze Umowy.

3. Przekazujący upoważnia pracowników do udostępniania danych osobowych osobie, której dane dotyczą. W przypadku wniosku osoby, której dane dotyczą, odpowiedź musi nastąpić w terminie 30 dni od daty jego otrzymania. Odpowiedź musi zawierać następujące informacje:

  • jakie dane osobowe zawiera zbiór,

  • w jaki sposób zebrano dane,

  • w jakim celu i zakresie dane są przetwarzane,

  • w jakim zakresie i komu dane zostały udostępnione,

  • inne informacje, o które prosi wnioskujący, o ile nie stanowią tajemnicy przedsiębiorstwa.

  • fakt udostępnienia danych osobowych odnotowuje się w rejestrze udostępnień danych osobowych.

4. Każdorazowe udostępnienie danych osobowych, na umotywowany wniosek upoważnionych instytucji i organów powinno być konsultowane z Właścicielem lub upoważnionym pracownikiem. Należy odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to:

  • ujawnienie wiadomości stanowiących tajemnicę państwową,

  • zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi,

  • zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,

  • istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

Przed udostępnieniem danych osobowych na wniosek jakiejkolwiek instytucji, należy gruntownie przeanalizować, czy przedmiotowa instytucja posiada stosowną podstawę prawną do wnioskowania o udzielenie tego typu informacji.

5. Przetwarzanie danych osobowych w systemie informatycznym powinno odbywać się na wysokim poziomie bezpieczeństwa.

6. Powierzenie przetwarzania danych osobowych osobom, które nie posiadają upoważnienia, a które muszą dokonać prac serwisowych lub innych podobnych prac, możliwe jest wyłącznie:

  • po podpisaniu przez taką osobę oświadczenia o zachowaniu poufności albo,

  • gdy osoba taka wykonuje powierzone jej czynności pod nadzorem osoby posiadającej ww. upoważnienie,

  • gdy wynika to z odrębnych przepisów lub charakteru świadczonej umowy.

7. W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy ją poinformować w przystępnej dla niej formie o:

  • adresie swojej siedziby i pełnej nazwie,

  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

  • prawie dostępu do treści swoich danych oraz ich poprawiania,

  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej,

  • możliwości wycofania wcześniej udzielonej zgody.

8. Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są również następujące rejestry i ewidencje:

  • Rejestr osób upoważnionych do przetwarzania danych osobowych,

  • Rejestr podmiotów, którym powierzono przetwarzanie danych osobowych,

  • Rejestr zbiorów danych prowadzony przez Właściciela,

  • Rejestr naruszeń polityki bezpieczeństwa ochrony danych osobowych.

TWORZENIE ZBIORÓW DANYCH OSOBOWYCH

1. Administrator może tworzyć zbiory danych osobowych.

2. Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami prowadzi Właściciel. Zbiory danych muszą spełniać przepisy RODO oraz wszelkie inne wymogi nałożone przepisami prawa.

3. W przypadku konieczności wprowadzenia istotnych zmian dotyczących struktury zbioru danych osobowych lub zasad przetwarzania danych w zbiorze pracownik powiadamia o tym Właściciela. Zmiany mogą być wprowadzone jedynie po uzyskaniu zgody Właściciela.

4. Usuwanie danych osobowych przetwarzanych w systemach informatycznych wykonywane może być jedynie zgodnie z instrukcjami Właściciela oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1. Incydenty naruszenia bezpieczeństwa

Przypadki mogące wskazywać na zaistnienie sytuacji kryzysowych:

  • przekazanie osobie nieuprawnionej danych osobowych,

  • uzyskanie sygnału o naruszeniu ochrony danych osobowych,

  • niedopełnienie obowiązku ochrony danych osobowych,

  • zaginięcie dokumentów lub nośnika zawierającego dane osobowe,

  • ujawnienie indywidualnych haseł lub udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe,

  • próba lub naruszenie integralności danych oraz modyfikacje w dokumentach lub systemie przetwarzania danych,

  • wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania,

  • wykonanie nieuprawnionych kopii danych osobowych.

2. Procedura postępowania w sytuacjach kryzysowych

W przypadku ujawnienia któregokolwiek z incydentu opisanego powyżej pracownik powinien:

  • powstrzymać się od podjęcia działań skutkujących zniszczeniem lub uszkodzeniem stosownych dowodów,

  • zabezpieczyć dowody i zapobiec dalszym zagrożeniom,

  • niezwłocznie powiadomić o zaistniałej sytuacji kierownika komórki organizacyjnej lub bezpośredniego przełożonego.

3. W przypadku zaistnienia incydentu naruszenia bezpieczeństwa pracownik właściwy do obsługi systemów informatycznych podejmuje działania w zakresie przywrócenia bezpieczeństwa systemu, przeprowadza niezbędne czynności w celu wyjaśnienia incydentu oraz sporządza informację, którą przekazuje Właścicielowi.

4. Właściciel lub osoba przez niego upoważniona sporządza na temat incydentu informację, którą przedstawia organowi zarządzającemu Przetwarzającego oraz poleca podjęcie działań niezbędnych do likwidacji incydentu.

5. Po rozwiązaniu wszelkich komplikacji wynikających z incydentów naruszających bezpieczeństwo danych osobowych, należy niezwłocznie poinformować zainteresowane osoby, które dane udostępniły o podjętych działaniach w tym zakresie.

ZADANIA OSÓB

Osobę, która ma zostać upoważniona do przetwarzania danych osobowych, kierownik komórki organizacyjnej zapoznaje z:

  • Ustawą z dnia 10 maja 2018 o Ochronie danych osobowych.

  • Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024).

  • Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).

  • Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745).

  • Niezbędną dokumentacją, w tym Polityką bezpieczeństwa ochrony danych osobowych.

Po zapoznaniu się z wyżej wymienionymi dokumentami, osoba kierująca komórką organizacyjną wnioskuje do Właściciela o wydanie upoważnienia.

Pracownikowi wydaje się imienne upoważnienie na podstawie złożonego wniosku.

Dokumenty oraz nośniki zawierające dane osobowe przechowywane są w wydzielonym pomieszczeniu, do którego dostęp mają wyłącznie osoby upoważnione, na należycie zabezpieczonych urządzeniach do przechowywania danych cyfrowych, takich jak serwery spełniające standardy RODO, w specjalistycznych szafach.

WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH

1. Dane osobowe przechowywane w systemach informatycznych nie są przetwarzane w sposób zautomatyzowany.

2. Zbiorami danych osobowych objęte są przede wszystkim dane osobowe pracowników oraz kontrahentów Administratorów Danych Osobowych przekazane do przetwarzania na mocy Umowy.

3. Zbiór danych osobowych przechowywany jest w siedzibie Spółki, tj. pod adresem: ul. Korfantego 138A, 40-156 Katowice.

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

1. Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się szczegółowe rozwiązania techniczne i organizacyjne przedstawione w niniejszej Polityce oraz Instrukcji zarządzania systemem informatycznym.

2. Dane osobowe zapisywane na nośniku elektronicznym należy szyfrować lub zabezpieczyć hasłem. Nośniki wykorzystywane do celów operacyjnych należy przechowywać w czasie nieobecności użytkownika w zamykanych na klucz szafach lub sejfach. W przypadku nieużywania nośnika dane należy usunąć lub nośnik zniszczyć.

3. Wprowadza się system uwierzytelniania użytkowników zabezpieczony co najmniej 8-znakowym hasłem zawierającym małe i wielkie litery, cyfry i znaki specjalne.

4. Zarządzanie stacjami roboczymi i uprawnieniami użytkowników powinno odbywać się centralnie z użyciem systemów ochrony antywirusowej, zapór ogniowych oraz monitorowania ruchu sieciowego.

5. Komunikacja z siecią publiczną powinna być realizowana przez pojedynczy punkt dostępu z blokadą nieużywanych portów TCP/IP i kontrolą dostępu do adresów IP.

6. Wprowadza się mechanizm domeny zarządzającej dostępem do sieci, indywidualne konta użytkowników, kontrolę antywirusową, blokadę nieaktywnych stacji roboczych oraz zapisywanie logów transakcyjnych.

7. Operacje administracyjne na bazach danych wykonuje się wyłącznie z konsoli administracyjnej serwera.

8. Dane osobowe przetwarzane poza siedzibą firmy (np. na komputerach przenośnych) muszą być dodatkowo zabezpieczone przed dostępem osób trzecich.

9. Dokumenty papierowe zawierające dane osobowe przechowywane są w zamykanych meblach biurowych.

10. Po zakończeniu użytkowania dokumenty i nośniki danych zawierające dane osobowe powinny być komisyjnie archiwizowane lub niszczone.

11. Monitorowanie ochrony danych osobowych odbywa się na bieżąco przez pracowników, audyty wewnętrzne oraz osoby wyznaczone przez Właściciela.

12. Nadzór nad funkcjonowaniem systemu sprawuje osoba kierująca obszarem informatyki lub ASI.

ODPOWIEDZIALNOŚĆ DYSCYPLINARNA I KARNA

Za naruszenie wymogów Polityki pracownik podlega odpowiedzialności dyscyplinarnej, a zgodnie z ustawą o ochronie danych osobowych również odpowiedzialności karnej i administracyjnej.

UWAGI KOŃCOWE

1. Wątpliwości interpretacyjne wyjaśnia Właściciel lub upoważniony pracownik.

2. Tekst Polityki stanowi tajemnicę Przetwarzającego w rozumieniu tajemnicy przedsiębiorstwa zgodnie z ustawą o zwalczaniu nieuczciwej konkurencji.

AKTY PRAWNE I DOKUMENTY ZWIĄZANE

  1. Konstytucja Rzeczypospolitej Polskiej.

  2. Ustawa o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.).

  3. Ustawa o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).

  4. Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. (Dz. U. Nr 100, poz. 1024).

  5. Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku (Dz. U. z 2015 r., poz. 719 oraz 745).

Aktualizacja dokumentu 04.07.2025 r.

Załącznik nr 1 – Instrukcja zarządzania systemem informatycznym

Opracowana zgodnie z §3 ust.1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).

§ 1 Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem

  1. Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu.

  2. Każdy identyfikator użytkownika zabezpieczony jest hasłem.

  3. Administrator Danych Osobowych stosuje następujące zasady tworzenia hasła:
    a) hasło nie może składać się z danych personalnych lub ich fragmentów,
    b) hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,
    c) hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury,
    d) hasło nie może być jednakowe z identyfikatorem użytkownika,
    e) hasło musi być unikalne, tj. niepowtarzalne względem wcześniejszych haseł.

  4. Hasło nie może być wyświetlane podczas wpisywania. Użytkownik musi utrzymać hasło w tajemnicy.

  5. Zaleca się zmianę hasła nie rzadziej niż co 30 dni.

  6. W przypadku złamania poufności hasła użytkownik niezwłocznie zmienia hasło i informuje Administratora.

  7. Identyfikator użytkownika nie powinien być zmieniany ani ponownie przypisywany innym osobom po dezaktywacji.

§ 2 Procedury rozpoczęcia, zawieszenia i zakończenia pracy

  1. Przed rozpoczęciem przetwarzania danych użytkownik sprawdza stan zabezpieczeń.

  2. Użytkownik loguje się indywidualnym identyfikatorem i hasłem. Zabrania się używania cudzych danych logowania.

  3. Przy opuszczeniu stanowiska pracy na ponad 1 godzinę należy wylogować się.

  4. Zakończenie pracy następuje poprzez wylogowanie. Kopie danych wykonuje Administrator SI.

§ 3 Procedury tworzenia kopii zapasowych

  1. Kopie zapasowe tworzy Administrator SI.

  2. Kopie powinny być kontrolowane przez częściowe lub całkowite odtworzenie.

  3. Nośniki z kopiami muszą być zabezpieczone przed dostępem osób nieuprawnionych.

  4. Przed likwidacją nośników dane muszą być usunięte lub fizycznie zniszczone.

§ 4 Sposób przechowywania nośników danych

  1. Nie przechowuje się zbędnych nośników. Po upływie ich użyteczności dane należy usuwać lub niszczyć.

  2. Nośniki nie mogą być wynoszone poza wyznaczony obszar.

  3. Nośniki muszą być przechowywane w zamykanych szafach lub sejfach.

  4. Uszkodzone lub zużyte nośniki należy fizycznie zniszczyć.

§ 5 Zabezpieczenie systemu przed oprogramowaniem nieuprawnionym

  1. System chroni oprogramowanie antywirusowe.

  2. Wszystkie pliki wczytywane do systemu muszą być skanowane.

  3. Każda stacja z dostępem do Internetu musi posiadać aktywne oprogramowanie antywirusowe.

  4. Oprogramowanie antywirusowe aktualizuje się minimum raz w miesiącu.

§ 6 Odnotowanie informacji o odbiorcach danych

  1. System informatyczny odnotowuje informacje o odbiorcach danych.

  2. Jeśli system tego nie umożliwia, dane wpisywane są do rejestru prowadzonego przez Administratora.

  3. Rejestr zawiera: nazwę odbiorcy, datę i zakres udostępnienia danych.

§ 7 Przeglądy i konserwacja systemów i nośników

  1. Przeglądy i konserwacje przeprowadzane są przez firmy zewnętrzne, posiadające odpowiednie umowy.

  2. Przekazywany do naprawy sprzęt powinien być pozbawiony danych lub naprawiany w obecności Administratora.

  3. Przeglądy wykonywane są nie rzadziej niż raz w roku.

  4. Nadzór nad przeglądami i konserwacjami sprawuje Administrator SI.

  5. Zabronione jest samodzielne dokonywanie przeglądów i konserwacji.

§ 8 Pozostałe zasady ochrony

  1. Administrator ma prawo kontroli zabezpieczeń.

  2. Zaleca się instalację poprawek i aktualizacji systemowych zgodnie z zaleceniami producenta.

Załącznik nr 2 – Struktura zbiorów danych osobowych

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych:

  1. Imię

  2. Nazwisko

  3. Telefon kontaktowy

  4. Adres poczty elektronicznej

  5. Data urodzenia

  6. PESEL

  7. NIP

  8. Numer konta

  9. Adres zamieszkania (ulica, numer lokalu, miejscowość)

  10. Adres do korespondencji (ulica, numer lokalu, miejscowość)

  11. Miejsce pracy (ulica, numer lokalu, miejscowość)