Załącznik nr l do Zarządzeniu nr

POLITYKA BEZPIECZEŃSTWA
w zakresie ochrony danych osobowych
w ramach serwisu zgloszenia24.pl
SPIS TREŚCI
I.
II.
III.
IV.
V.
VI.
VII.
VIII.
IX.
POSTANOWIENIA OGÓLNE ................................................................................................. 2
DEFINICJA BEZPIECZEŃSTWA INFORMACJI .................................................................... 2
ZAKRES STOSOWANIA ............................................................................................................. 3
BEZPIECZEŃSTWO INFORMACJI ....................................................................................... 4
ZARZĄDZANIE DANYMI OSOBOWYMI ............................................................................... 5
ZAKRESY ODPOWIEDZIALNOŚCI ........................................................................................ 5
PRZETWARZANIE DANYCH OSOBOWYCH......................................................................... 6
ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE.............. ........ 6
POSTANOWIENIA KOŃCOWE......................................................................................... ....... 6
1
I. POSTANOWIENIA OGÓLNE
§1.
Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest
uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu
przetwarzania
w ramach serwisu internetowego zgloszenia24.pl informacji zawierających dane osobowe.
§2.
Obszarem przetwarzania danych osobowych w ramach serwisu internetowego zgloszenia24.pl są
pomieszczenia siedziby działalności gospodarczej prowadzonej pod firmą Tomasz Jura Software
przy ulicy Panewnickiej 343c/7, 40-774 Katowice oraz pomieszczenia siedziby właściciela domeny
spółce nazwa.pl S.A. z siedzibą przy ulicy Cystersów 20a, 31-553 Kraków.
§3.
Określenia użyte w Polityce Bezpieczeństwa oznaczają:
1. Serwis – witryna internetowa zgloszenia24.pl
2. Administrator – Tomasz Jura prowadzący działalność gospodarczą pod firmą Tomasz Jura
Software, nr NIP: 6342788997, będący osobą upoważnioną do zarządzania systemem
informatycznym.
3. Osoba posiadająca konto w serwisie – zarejestrowany użytkownik Serwisu posiadający
delegowane uprawnienia Administratora do przetwarzania danych osobowych zgromadzonych w
ramach korzystania z Serwisu.
4. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania
osoby fizycznej.
5. Przetwarzanie danych osobowych - gromadzenie, utrwalanie przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach
informatycznych,
6. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania
danych.
7. Zabezpieczenie
systemu
informatycznego
wdrożenie
stosowanych
środków
administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem,
nieuprawnionym dostępemi ujawnieniem lub pozyskaniem danych osobowych a także ich
utratą.
II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI
§4.
1. Utrzymanie bezpieczeństwa przetwarzanych w ramach serwisu internetowego
zgloszenia24.pl informacji rozumiane jest jako zapewnienie ich poufności, integralności i
dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka
związanego z ochroną danych osobowych.
2. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i
aplikacji:
2
a) poufność informacji - rozumiana jako zapewnienie, że tylko uprawnieni pracownicy i
posiadacze konta w serwisie mają dostęp do informacji;
b) integralność informacji - rozumiana jako zapewnienie dokładności i kompletności
informacji oraz metod jej przetwarzania;
c) dostępność informacji - rozumiane jako zapewnienie, że osoby upoważnione mają
dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
d) zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania
i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może
dotyczyć systemów informacyjnych.
III. ZAKRES STOSOWANIA
§5.
1. W ramach serwisu internetowego zgloszenia24.pl przetwarzane są informacje służące do
prowadzenia procesów rejestracyjnych i ewidencyjnych przez Administratora i osoby
posiadające konto w serwisie.
2. Informacje te są przetwarzane i składowane w postaci elektronicznej.
§6.
Politykę Bezpieczeństwa stosuje się do:
1. Danych osobowych gromadzonych przez Administratora i osoby posiadające konto w
serwisie.
2. Informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw
kont
i haseł w systemach przetwarzania danych osobowych.
3. Rejestru osób dopuszczonych do przetwarzania danych osobowych.
4. Innych dokumentów zawierających dane osobowe.
§7.
1. Zakresy ochrony danych osobowych określone przez Politykę Bezpieczeństwa mają
zastosowanie w szczególności do:
a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów
informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające
ochronie;
b) wszystkich lokalizacji - budynków i pomieszczeń, w których są lub będą przetwarzane
informacje podlegające ochronie;
c) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów,
stażystów i innych osób mających dostęp do informacji podlegających ochronie.
2. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są
wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby
mające dostęp do informacji podlegających ochronie.
3
IV. BEZPIECZEŃSTWO INFORMACJI
§ 8.
W ramach Serwisu należy stosować następujące kategorie środków zabezpieczeń danych
osobowych:
1. zabezpieczenia informatyczne.
2. zabezpieczenia organizacyjne:
a) osobami bezpośrednio odpowiedzialnymi za bezpieczeństwo danych są: Administrator,
właściciel domeny spółka nazwa.pl S.A., osoby posiadający konto w Serwisie.
b) Administrator oraz osoby posiadający konto w Serwisie na bieżąco kontrolują z należytą
starannością, zgodnie
z aktualnie obowiązującą w tym zakresie wiedzą
i z obowiązującymi procedurami, pracę pracowników odpowiedzialnych za
przetwarzanie danych osobowych oraz systemu informatycznego.
§9.
Ochronę danych osobowych w Serwisie należy realizować z wykorzystaniem następujących
minimalnych zabezpieczeń:
1. odnotowania informacji dotyczących osoby posiadających konto w Serwisie;
2. odnotowania daty pierwszego wprowadzenia danych w systemie;
3. odnotowania identyfikatora użytkownika wprowadzającego dane;
4. odnotowania sprzeciwu określonego w art. 32 ust. l pkt 8 ustawy o ochronie danych
osobowych;
5. odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą;
odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie
tego udostępnienia;
§10.
1. W ramach zabezpieczenia danych osobowych ochronie podlegają:
a) sprzęt komputerowy - serwer, inne urządzenia zewnętrzne;
b) oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne,
narzędzia wspomagające i programy komunikacyjne;
c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie;
d) hasła użytkowników;
e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa;
f) użytkownicy i administratorzy, którzy obsługują i używają system;
2. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim,
określonym przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
29kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
zabezpieczenia zapewnia właściciel domeny spółka nazwa.pl S.A.
3. Przyjmuje się, że podstawowym i zarazem najważniejszym zastosowanym środkiem
zabezpieczenia danych osobowych w ramach Serwisu będą hasła dostępu do systemu.
4
V. ZARZĄDZANIE DANYMI OSOBOWYMI
.
§11.
Za bezpieczeństwo danych osobowych w ramach Serwisu, odpowiadają:
1. Właściciel domeny spółka nazwa.pl S.A
2. Administrator
3. Osoby posiadające konto w Serwisie.
§12.
Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania:
1. przetwarzać dane osobowe mogą jedynie Administrator, osoby posiadające konto w Serwisie
oraz osoby, których dane dotyczą;
2. w czasie przetwarzania danych osobowych, Administrator lub osoba posiadająca konto w
Serwisie winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany
przez osoby do tego celu nieupoważnione;
3. po zakończeniu przetwarzania danych Administrator lub osoba posiadająca konto w Serwisie
winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób
nieupoważnionych;
4. osoby posiadające konto w Serwisie przetwarzający dane osobowe są bezpośrednio
nadzorowani przez Administratora;
5. zmiany oprogramowania, aktualizacji oprogramowania oraz jego zabezpieczenia
antywirusowe i sieciowe dokonuje Administrator.
VI. ZAKRESY ODPOWIEDZIALNOŚCI
§13.
Administrator zobowiązany jest do przestrzegania wszystkich przepisów ustawy o ochronie danych,
w szczególności poprzez:
1. Określanie indywidualnych obowiązków i odpowiedzialności osób uprawnionych do
przetwarzania danych osobowych, wynikających z ustawy o ochronie danych osobowych.
2. Umożliwienie osobom uprawnionym do przetwarzania danych osobowych z przepisami
obowiązującymi w tym zakresie.
3. Wdrażanie i nadzorowanie przestrzegania Polityki Bezpieczeństwa.
4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których
zapisane są dane osobowe.
5. Tworzenie warunków organizacyjnych i technicznych umożliwiających spełnienie wymogów
wynikających z obowiązywania ustawy o ochronie danych osobowych.
6. Określanie, które osoby i na jakich prawach mają dostęp do danych informacji.
7. Nadzorowanie pod względem stosowania zasad bezpieczeństwa przetwarzania danych
osobowych przez osób posiadających konto w Serwisie.
5
VII. PRZETWARZANIE DANYCH OSOBOWYCH
§14.
Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi
obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych
osobowych.
§15.
Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą
indywidualne systemy archiwizowania dla poszczególnych systemów informatycznych.
VIII. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE
§16.
Archiwizację dokumentów zawierających dane osobowe prowadzi się w odpowiednio
zabezpieczonych pomieszczeniach i na właściwie zabezpieczonych nośnikach informatycznych lub
tradycyjnych. Dane zbędne dla prowadzonych spraw są natychmiast niszczone poprzez działania
fizyczne i informatyczne uniemożliwiające ich odczytanie.
IX. POSTANOWIENIA KOŃCOWE
§17.
Administrator okresowo będzie analizował zagrożenia i ryzyko w celu weryfikacji środków
zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych w
celu zapewnienia aktualności Polityki Bezpieczeństwa.
6