Załącznik nr l do Zarządzeniu nr
Transkrypt
Załącznik nr l do Zarządzeniu nr
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. II. III. IV. V. VI. VII. VIII. IX. POSTANOWIENIA OGÓLNE ................................................................................................. 2 DEFINICJA BEZPIECZEŃSTWA INFORMACJI .................................................................... 2 ZAKRES STOSOWANIA ............................................................................................................. 3 BEZPIECZEŃSTWO INFORMACJI ....................................................................................... 4 ZARZĄDZANIE DANYMI OSOBOWYMI ............................................................................... 5 ZAKRESY ODPOWIEDZIALNOŚCI ........................................................................................ 5 PRZETWARZANIE DANYCH OSOBOWYCH......................................................................... 6 ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE.............. ........ 6 POSTANOWIENIA KOŃCOWE......................................................................................... ....... 6 1 I. POSTANOWIENIA OGÓLNE §1. Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania w ramach serwisu internetowego zgloszenia24.pl informacji zawierających dane osobowe. §2. Obszarem przetwarzania danych osobowych w ramach serwisu internetowego zgloszenia24.pl są pomieszczenia siedziby działalności gospodarczej prowadzonej pod firmą Tomasz Jura Software przy ulicy Panewnickiej 343c/7, 40-774 Katowice oraz pomieszczenia siedziby właściciela domeny spółce nazwa.pl S.A. z siedzibą przy ulicy Cystersów 20a, 31-553 Kraków. §3. Określenia użyte w Polityce Bezpieczeństwa oznaczają: 1. Serwis – witryna internetowa zgloszenia24.pl 2. Administrator – Tomasz Jura prowadzący działalność gospodarczą pod firmą Tomasz Jura Software, nr NIP: 6342788997, będący osobą upoważnioną do zarządzania systemem informatycznym. 3. Osoba posiadająca konto w serwisie – zarejestrowany użytkownik Serwisu posiadający delegowane uprawnienia Administratora do przetwarzania danych osobowych zgromadzonych w ramach korzystania z Serwisu. 4. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 5. Przetwarzanie danych osobowych - gromadzenie, utrwalanie przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych, 6. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 7. Zabezpieczenie systemu informatycznego wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępemi ujawnieniem lub pozyskaniem danych osobowych a także ich utratą. II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI §4. 1. Utrzymanie bezpieczeństwa przetwarzanych w ramach serwisu internetowego zgloszenia24.pl informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych. 2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji: 2 a) poufność informacji - rozumiana jako zapewnienie, że tylko uprawnieni pracownicy i posiadacze konta w serwisie mają dostęp do informacji; b) integralność informacji - rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; c) dostępność informacji - rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne; d) zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. III. ZAKRES STOSOWANIA §5. 1. W ramach serwisu internetowego zgloszenia24.pl przetwarzane są informacje służące do prowadzenia procesów rejestracyjnych i ewidencyjnych przez Administratora i osoby posiadające konto w serwisie. 2. Informacje te są przetwarzane i składowane w postaci elektronicznej. §6. Politykę Bezpieczeństwa stosuje się do: 1. Danych osobowych gromadzonych przez Administratora i osoby posiadające konto w serwisie. 2. Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych. 3. Rejestru osób dopuszczonych do przetwarzania danych osobowych. 4. Innych dokumentów zawierających dane osobowe. §7. 1. Zakresy ochrony danych osobowych określone przez Politykę Bezpieczeństwa mają zastosowanie w szczególności do: a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie; b) wszystkich lokalizacji - budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie; c) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. 2. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie. 3 IV. BEZPIECZEŃSTWO INFORMACJI § 8. W ramach Serwisu należy stosować następujące kategorie środków zabezpieczeń danych osobowych: 1. zabezpieczenia informatyczne. 2. zabezpieczenia organizacyjne: a) osobami bezpośrednio odpowiedzialnymi za bezpieczeństwo danych są: Administrator, właściciel domeny spółka nazwa.pl S.A., osoby posiadający konto w Serwisie. b) Administrator oraz osoby posiadający konto w Serwisie na bieżąco kontrolują z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, pracę pracowników odpowiedzialnych za przetwarzanie danych osobowych oraz systemu informatycznego. §9. Ochronę danych osobowych w Serwisie należy realizować z wykorzystaniem następujących minimalnych zabezpieczeń: 1. odnotowania informacji dotyczących osoby posiadających konto w Serwisie; 2. odnotowania daty pierwszego wprowadzenia danych w systemie; 3. odnotowania identyfikatora użytkownika wprowadzającego dane; 4. odnotowania sprzeciwu określonego w art. 32 ust. l pkt 8 ustawy o ochronie danych osobowych; 5. odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą; odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia; §10. 1. W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy - serwer, inne urządzenia zewnętrzne; b) oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne; c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie; d) hasła użytkowników; e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa; f) użytkownicy i administratorzy, którzy obsługują i używają system; 2. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim, określonym przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zabezpieczenia zapewnia właściciel domeny spółka nazwa.pl S.A. 3. Przyjmuje się, że podstawowym i zarazem najważniejszym zastosowanym środkiem zabezpieczenia danych osobowych w ramach Serwisu będą hasła dostępu do systemu. 4 V. ZARZĄDZANIE DANYMI OSOBOWYMI . §11. Za bezpieczeństwo danych osobowych w ramach Serwisu, odpowiadają: 1. Właściciel domeny spółka nazwa.pl S.A 2. Administrator 3. Osoby posiadające konto w Serwisie. §12. Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: 1. przetwarzać dane osobowe mogą jedynie Administrator, osoby posiadające konto w Serwisie oraz osoby, których dane dotyczą; 2. w czasie przetwarzania danych osobowych, Administrator lub osoba posiadająca konto w Serwisie winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione; 3. po zakończeniu przetwarzania danych Administrator lub osoba posiadająca konto w Serwisie winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych; 4. osoby posiadające konto w Serwisie przetwarzający dane osobowe są bezpośrednio nadzorowani przez Administratora; 5. zmiany oprogramowania, aktualizacji oprogramowania oraz jego zabezpieczenia antywirusowe i sieciowe dokonuje Administrator. VI. ZAKRESY ODPOWIEDZIALNOŚCI §13. Administrator zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych, w szczególności poprzez: 1. Określanie indywidualnych obowiązków i odpowiedzialności osób uprawnionych do przetwarzania danych osobowych, wynikających z ustawy o ochronie danych osobowych. 2. Umożliwienie osobom uprawnionym do przetwarzania danych osobowych z przepisami obowiązującymi w tym zakresie. 3. Wdrażanie i nadzorowanie przestrzegania Polityki Bezpieczeństwa. 4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. 5. Tworzenie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych. 6. Określanie, które osoby i na jakich prawach mają dostęp do danych informacji. 7. Nadzorowanie pod względem stosowania zasad bezpieczeństwa przetwarzania danych osobowych przez osób posiadających konto w Serwisie. 5 VII. PRZETWARZANIE DANYCH OSOBOWYCH §14. Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. §15. Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów informatycznych. VIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE §16. Archiwizację dokumentów zawierających dane osobowe prowadzi się w odpowiednio zabezpieczonych pomieszczeniach i na właściwie zabezpieczonych nośnikach informatycznych lub tradycyjnych. Dane zbędne dla prowadzonych spraw są natychmiast niszczone poprzez działania fizyczne i informatyczne uniemożliwiające ich odczytanie. IX. POSTANOWIENIA KOŃCOWE §17. Administrator okresowo będzie analizował zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności Polityki Bezpieczeństwa. 6