Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji
CMS Spółka z o.o.
ul. Przestrzenna 11
70-800 Szczecin
NIP 955-213-25-72
Regon 320038259
KRS 240154
Spis treści
Polityka bezpieczeństwa informacji.....................................................................................................1
Polityka bezpieczeństwa informacji............................................................................................2
Cel polityki bezpieczeństwa........................................................................................................2
Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa
informacji....................................................................................................................................2
Zakres polityki bezpieczeństwa..................................................................................................3
Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe ....................3
Prawa i obowiązki użytkowników ........................................................................................3
Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.)........................................3
Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI) .................................4
Obowiązki Administratora Systemu Informatycznego (ASI) ...............................................4
Podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub
podejrzenia naruszenia np. pojawienie się wirusa w systemie. .................................................5
Zasady przetwarzania danych osobowych przez Administratora Danych Osobowych.............5
Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane osobowe..5
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
ich przetwarzania. ..................................................................................................................6
Opis struktury zbioru danych.................................................................................................6
Przepływ danych pomiędzy poszczególnymi systemami......................................................6
Określenie środków technicznych i organizacyjnych zapewniających poufność,
integralność i rozliczalność przetwarzania danych osobowych.............................................7
Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych
...........................................................................................................................................7
Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in.
zaliczyć: ............................................................................................................................8
Zastosowane środki techniczne.........................................................................................8
Zastosowane środki organizacyjne ...................................................................................9
Postanowienia końcowe .............................................................................................................9
Załączniki..................................................................................................................................10
1
Polityka bezpieczeństwa informacji.
Polityka bezpieczeństwa informacji jest zbiorem spójnych, precyzyjnych reguł i procedur, według
których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne
i informatyczne.
Cel polityki bezpieczeństwa.
Niniejsza Polityka została opracowana dla stworzenia i utrzymania wysokiego poziomu
bezpieczeństwa zbioru danych osobowych zgodnie z wymogami rozporządzenia, rozumianego jako
zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienia rozliczalności
podejmowanych działań.
Celem opracowania i wdrożenia niniejszej Polityki jest:
• maksymalne ograniczenie ryzyka związanego z nieuprawnionym przetwarzaniem lub utratą
danych osobowych,
• zagwarantowanie pełnej ochrony danych osobowych posiadanych przez CMS Sp. z o.o.
zbiorów bez względu na formę w jakiej zbiór jest przetwarzany,
• opracowanie zasad postępowania w sytuacjach kryzysowych,
• wdrożenie reguł, praw i procedur zapewniających odpowiedni poziom bezpieczeństwa
zarządzania danymi osobowymi będącymi w posiadaniu CMS Sp z o.o.
Cele wyznaczone w Polityce Bezpieczeństwa, realizowane są poprzez:
• stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony danych
osobowych przetwarzanych zarówno w formie tradycyjnej jak i elektronicznej,
• podejmowanie wszelkich działań niezbędnych dla ochrony praw jednostki związanych
z bezpieczeństwem danych osobowych,
• staranny dobór, ocenę i kwalifikację dostawców usług,
• stosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do przetwarzania
i zabezpieczania danych osobowych.
Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady
bezpieczeństwa informacji.
CMS Sp. z o.o. realizując niniejszą Politykę Bezpieczeństwa, dokłada najwyższej staranności
w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te
były:
• przetwarzane zgodnie z prawem,
• zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami,
• merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
• przechowywane nie dłużej niż jest to niezbędne do realizacji celów, w których zostały
zebrane.
2
Zakres polityki bezpieczeństwa
Polityka Bezpieczeństwa odnosi się do wszystkich danych osobowych przetwarzanych:
• w sposób tradycyjny, w szczególności w kartotekach, rejestrach, skorowidzach, księgach,
wykazach i w innych zbiorach ewidencyjnych,
• w systemach informatycznych.
Ochronie podlegają wszystkie dane osobowe przetwarzane przez CMS Sp. z o.o. również te, które
powierza do przetwarzania innym podmiotom.
W celu zapewnienia maksymalnej ochrony danych osobowych, wyznaczono obszary mające istotny
wpływ na bezpieczeństwo zasobów CMS Sp. z o.o. są to:
• bezpieczeństwo systemów i sieci informatycznych,
• bezpieczeństwo danych osobowych gromadzonych w wersji papierowej,
• bezpieczeństwo zarządzania dostępem do informacji,
• bezpieczeństwo fizyczne pomieszczeń, gdzie przetwarzane są dane osobowe.
Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane
osobowe
Prawa i obowiązki użytkowników
1. Każdy użytkownik zobowiązany jest do utrzymania właściwego poziomu bezpieczeństwa
w zakresie swoich obowiązków i uprawnień.
2. Każdy użytkownik składa oświadczenie, w którym potwierdza zapoznanie się z ustawą,
Polityką Bezpieczeństwa oraz „Instrukcją zarządzania systemem informatycznym”. Ponadto
użytkownik zobowiązuje się do zapewnienia ochrony przetwarzanych przez niego danych
osobowych. Oświadczenie to przechowywane jest przez CMS Sp. z o.o. w segregatorze
przez okres 5 lat licząc od daty zakończenia współpracy z użytkownikiem (np. od daty
rozwiązania umowy o pracę).
3. Każdy użytkownik, w trakcie jak i po ustaniu zatrudnienia w CMS Sp. z o.o. ma obowiązek
ochrony wszelkich informacji dotyczących funkcjonowania systemów lub urządzeń
służących do przetwarzania danych osobowych oraz sposobów zabezpieczania danych.
4. Niedozwolone jest przetwarzanie danych osobowych w sposób inny niż opisany
w niniejszej Polityce Bezpieczeństwa lub Instrukcji.
5. Pracownicy uprawnieni są do występowania z wnioskiem do bezpośredniego przełożonego
o nadanie lub zmianę zakresu uprawnień do przetwarzania danych osobowych.
6. Użytkownicy zobowiązani są wskazywać konieczność wprowadzenia zmian
w funkcjonalności systemu informatycznego służącego do przetwarzania danych osobowych
w celu poprawy bezpieczeństwa przetwarzanych danych osobowych.
7. Wobec osób, które nie stosują się do zapisów niniejszej Polityki Bezpieczeństwa, Instrukcji
oraz ustawy o ochronie danych osobowych, CMS Sp. z o.o. może wyciągnąć konsekwencje
przewidziane w Kodeksie Pracy i innych aktach prawnych w zależności od rodzaju skutków
naruszeń.
Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.)
Do obowiązków CMS Sp. z o.o. m.in. należy:
1. Zapewnienie środków organizacyjnych i technicznych zapewniających zabezpieczenie
danych przed dostępem osób nieupoważnionych.
2. Nadawanie/zmiana/odbieranie zakresu uprawnień użytkowników do przetwarzania danych
3
osobowych.
3. Wystawianie upoważnień do przetwarzania danych osobowych.
4. Weryfikacja zakresu przetwarzanych danych pod kątem adekwatności (dotyczy wszystkich
zbiorów).
5. Wyznaczenie Administratora Bezpieczeństwa Informacji, który nadzoruje przestrzeganie
zasad ochrony danych osobowych (zastosowanie odpowiednich środków technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych osobowych).
Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI)
1.
2.
3.
4.
5.
6.
7.
8.
9.
Przechowywanie imiennych upoważnień do przetwarzania danych osobowych.
Prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych.
Prowadzenie i aktualizacja dokumentacji opisującej sposób przetwarzania danych.
Nadzorowanie treści podpisanych umów powierzenia (w zakresie dotyczącym ochrony
danych osobowych), w przypadku przekazywania danych osobowych podmiotom
realizującym zlecenia Administratora Danych Osobowych (CMS Sp z o.o.).
Nadzór nad przestrzeganiem przez użytkowników zapisów Instrukcji Zarządzania
Systemem Informatycznym i niniejszej Polityki.
Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe.
Nadzór nad prawidłowością archiwizacji dokumentów zawierających dane osobowe oraz
zapewnienie nadzoru nad właściwym usuwaniem bądź niszczeniem dokumentów z danymi
osobowymi.
Poinformowanie organów uprawnionych do ścigania przestępstw w przypadku celowego
naruszenia bezpieczeństwa przetwarzanych danych osobowych.
Polecenia ABI w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego
muszą być bezwzględnie wykonywane przez wszystkich pracowników i Użytkowników
systemu.
Obowiązki Administratora Systemu Informatycznego (ASI)
1. Nadanie, zmiana i blokowanie uprawnień danemu Użytkownikowi do zasobów
informatycznych zgodnie z wnioskiem ABI.
2. Właściwa konfiguracja systemu informatycznego zapewniająca jego bezpieczeństwo
i ograniczenie dostępu do danych osobowych przez osoby nieupoważnione.
3. Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych
osobowych.
4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, które
zawierają dane osobowe.
5. Okresowe wykonywanie kopii bezpieczeństwa danych oraz nadzór nad ich zabezpieczeniem
zgodnie z procedurami ustalonymi w Instrukcji.
6. Okresowa analiza przyczyn i skutków sytuacji, które naruszyły bezpieczeństwo danych oraz
informowanie ABI o wynikach tej analizy.
7. Zabezpieczenie komputerów przenośnych poprzez:
4
Podejmowanie działań w przypadku wykrycia naruszeń w systemie
zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa
w systemie.
Poniższe działania wykonuje Administrator Systemu Informatycznego
•
•
•
•
•
•
•
•
•
•
•
Fizyczne odłączenie urządzeń, które umożliwiają nieautoryzowany dostęp do zbioru danych
osobowych.
Wylogowanie użytkownika, który zgłosił podejrzenie lub naruszenie integralności zbioru
danych osobowych.
Podjęcie działań uniemożliwiających dalsze nielegalne przetwarzanie danych osobowych
(np. zastosowanie dodatkowych zabezpieczeń, całkowite odłączenie stacji roboczej od
zbioru danych osobowych).
Usunięcie skutków incydentu.
Przywrócenie normalnego działania systemu (np. odtworzenie bazy danych z ostatniej
kopii).
Zrestartowania hasła użytkownika, który zgłosił naruszenie systemu informatycznego.
Poinformowania o incydencie ABI, w tym sporządzenia notatki dotyczącej opisu, przyczyn
i znanych skutków incydentu.
Wyjaśnienia przyczyn wystąpienia incydentu i podjęcia działań zmierzających do
ograniczenia ryzyka wystąpienia ponownego incydentu w przyszłości (np. szkolenie
pracowników, analiza wdrożonych środków bezpieczeństwa pod kątem ich skuteczności,
ustalenie źródła wirusa i zwiększenie zabezpieczeń).
Wydania decyzji na ponowne rozpoczęcie przetwarzania danych osobowych.
Przedstawienia ABI propozycji poprawy bezpieczeństwa.
W przypadku, gdy incydent wywołany był świadomie przez pracownika – zebrania
dowodów.
Zasady przetwarzania danych osobowych przez Administratora Danych
Osobowych.
Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane
osobowe.
Dane osobowe przetwarzane są w lokalizacjach wymienionych w załączniku nr 1 do niniejszej
Polityki.
Jeżeli dane osobowe przetwarzane są w pomieszczeniach ogólnodostępnych należy wydzielić część
pomieszczenia, w której przetwarzane są dane osobowe (np. montaż barierek, lad, odpowiednie
ustawienie mebli biurowych uniemożliwiające dostęp do danych przez osoby postronne).
Ze względu na charakter usług prowadzonych przez CMS Sp. z o.o. tj. sklep internetowy, osoby
upoważnione do przetwarzania danych osobowych mają dostęp do panelu administracyjnego
konkretnego sklepu z każdego urządzenia podłączonego do sieci Internet po wpisaniu
odpowiedniego adresu strony internetowej i podaniu loginu i hasła. Szczegółowe procedury
zarządzania takimi uprawnieniami zostały ujęte w Instrukcji.
5
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do ich przetwarzania.
Aktualny wykaz został zawarty w załączniku nr 2 do niniejszej Polityki.
Obsługa sklepu internetowego została upoważnionym do tego celu pracownikom firmy, którzy
zaznajomili się z Politykę Bezpieczeństwa.
Dane osobowe zlokalizowane są na zewnętrznym zabezpieczonym przez firmę hostingową home.pl
serwerze.
Opis struktury zbioru danych.
W zbiorze przetwarzane są informacje o klientach w następującym zakresie:
<Zakres 1>: [imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania),
adres e-mail, telefon, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia, data
odbioru],
oraz informacje o towarach w zakresie:
<Zakres 2>: [identyfikator towaru, nazwa towaru, nazwa producenta]
Tablica 1. Struktura zbioru zawierającego informacje o klientach, zamówieniach i produktach.
Dane adresowe Klienta
[id klienta, imię, nazwisko, adres (kod pocztowy,
miejscowość, ulica, nr domu/mieszkania), adres email, telefon]
Zamówienia Klienta
[id zamówienia, id klienta, nazwa towaru,
ilość towaru, wartość zamówienia, data zamówienia]
Sprzedawane towary
[id towaru, nazwa towaru, nazwa producenta, data
produkcji]
Przepływ danych pomiędzy poszczególnymi systemami.
Diagram przepływu danych znajduje się w załączniku nr 3.
Klient sklepu internetowego www.farbyjachtowe.pl dokonuje rejestracji w sklepie podając swoje
imię i nazwisko, adres dostarczenia przesyłki, adres e-mail i opcjonalnie numer telefonu. Jego konto
chronione jest wybranym przez niego, indywidualnym hasłem. Po złożeniu zamówienia
administrator panelu sklepu internetowego wprowadza ręcznie dane klienta i szczegóły jego
zamówienia do systemu Subiekt GT (system klasy ERP stosowany we wspomaganiu zarządzania
przedsiębiorstwem). Po wyrażeniu przez klienta zgody, jego adres mailowy zostaje dodany do listy
subskrybentów newslettera w panelu www.farbyjachtowe.pl. i www.sare.pl.
Dane osobowe dotyczące pracowników przetwarzane są przez firmę zewnętrzną prowadzącą
księgowość Spółki na zlecenie CMS Sp. z o.o. stosowna umowa powierzenia została zawarta.
6
Określenie środków technicznych i organizacyjnych zapewniających poufność,
integralność i rozliczalność przetwarzania danych osobowych.
Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych
osobowych
Połączenie systemu informatycznego, w którym przetwarzane są dane osobowe z ogólnodostępną
siecią Internet – oprogramowanie szpiegujące czy monitorujące pracę komputera (wirusy
komputerowe, konie trojańskie, rootkity, keylogger, Phishing itp.).
Zamierzone działania ludzkie mające na celu nieautoryzowane przetwarzanie danych osobowych:
• ujawnienie hasła i loginu,
• podszycie się pod użytkownika,
• użycie złośliwego oprogramowania,
• włamanie do systemu,
• kradzież danych,
• uszkodzenie zabezpieczeń fizycznych np. włamanie.
Działania użytkownika, które w sposób przypadkowy mogą
nieautoryzowanego przetwarzania danych osobowych (m.in. błędy ludzkie):
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
doprowadzić
do
udostępnianie stanowisk pracy osobom nieuprawnionym,
niewłaściwa konstrukcja haseł,
nieautoryzowane kopiowanie danych osobowych,
utrata nośnika zawierającego dane osobowe,
nieodpowiednie niszczenie nośników informacji (np. kartka papieru, dysk),
pozostawienie nośników zewnętrznych w komputerze np. pendrive,
używanie nośników danych udostępnionych przez osoby postronne,
samowolne instalowanie przez użytkowników oprogramowania nieznanego pochodzenia,
niewłaściwe
ustawienie
monitora
komputerowego,
umożliwiające
osobom
nieupoważnionym wgląd w przetwarzane dane osobowe,
pozostawienie dokumentów w ogólnodostępnych miejscach np. w drukarce, w
kserokopiarce,
pozostawienie kluczy w drzwiach do pomieszczeń stanowiących obszar przetwarzania
danych osobowych lub w szafkach, gdzie znajdują się dane osobowe.
Zdarzenia losowe m.in:
pożar,
włamanie,
powódź,
zalanie,
kradzież,
awaria oprogramowania.
7
Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in.
zaliczyć:
•
•
•
•
•
•
•
•
brak możliwości uruchomienia przez Użytkownika aplikacji pozwalającej na dostęp do
danych osobowych,
ograniczone, w stosunku do normalnej sytuacji, uprawnienia Użytkownika w aplikacji (na
przykład brak możliwości wykonania pewnych operacji normalnie dostępnych
Użytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji,
znaczne spowolnienie działania systemu informatycznego,
brak możliwości fizycznego dostępu do danych (np. kradzież sprzętu komputerowego,
zagubienie klucza do pomieszczeń),
zidentyfikowanie w systemie wirusa lub innego programu, mogącego uszkodzić, skasować
bądź skopiować dane osobowe,
stwierdzenie próby bądź podejrzenie nieautoryzowanego przetwarzania danych osobowych
(np. zmieniona zawartość zbioru, zmiana kolejności ułożenia dokumentów, otwarte drzwi,
nieautoryzowane zniszczenie zawartości zbioru ),
naruszenie technicznego stanu urządzeń,
naruszenie zawartości zbioru danych osobowych.
Zastosowane środki techniczne
1. Dostęp do danych osobowych ograniczony jest autoryzacją użytkownika poprzez wpisanie
loginu i hasła.
2. Każdemu użytkownikowi uprawnionemu do przetwarzania danych osobowych,
przydzielono indywidualny login i hasło. Hasło jest znane tylko przez użytkownika co
pozwala na zachowanie zasady niezaprzeczalności zdarzeń. Wymogi dotyczące haseł
zostały zawarte Instrukcji Zarządzania Systemem Informatycznym.
3. Od chwili otrzymania loginu użytkownik odpowiedzialny jest za wszystkie czynności, które
zostały wykonane przy jego użyciu.
4. Pracownicy, bez zezwolenia CMS Sp. z o. o. nie mogą wynosić poza pomieszczenia
stanowiące obszar przetwarzania danych osobowych dokumentów lub elektronicznych
nośników informacji zawierających dane osobowe lub kopii tych danych (nie dotyczy
przetwarzania danych osobowych na komputerach przenośnych),
5. W przypadku wynoszenia kopii danych poza obszar, w którym przetwarzane są dane
osobowe, Administrator Systemu Informatycznego zobowiązany jest do ich zabezpieczenia
poprzez zaszyfrowanie.
6. Na serwerze zainstalowano oprogramowanie antywirusowe z automatyczną aktualizacją.
7. W celu ochrony zbioru danych osobowych przed utratą lub celowym zniszczeniem,
wszystkie bazy zawierające dane osobowe są kopiowane zgodnie z procedurami opisanymi
w Instrukcji.
8. Stacje robocze użytkowników zostały wyposażone w system operacyjny oraz pakiet
biurowy z automatyczną aktualizacją. Stosuje się aktywną ochronę antywirusową w czasie
rzeczywistym na każdym komputerze podłączonym do sieci. Oprogramowanie zostało tak
skonfigurowane, że aktualizacje baz wirusów pobierane są automatycznie, a żaden z
użytkowników nie ma możliwości wyłączenia programu antywirusowego.
9. Aktualizacji oprogramowania specjalistycznego dokonuje na bieżąco Administrator
Systemu Informatycznego lub inna osoba wyznaczona przez niego.
10. Dokładne testowanie modyfikacji oprogramowania przed wdrożeniem go do użytku
zarówno pod kątem poprawności działania jak i podatności na „ataki” z zewnątrz.
8
Zastosowane środki organizacyjne
Do przetwarzania danych osobowych może zostać dopuszczona osoba, która otrzymała od
Administratora Danych Osobowych (CMS Sp. z o.o.) Upoważnienie do Przetwarzania Danych
Osobowych.
Warunkiem udzielenia upoważnienia do przetwarzania danych osobowych jest zaznajomienie
użytkownika przetwarzającego dane osobowe z:
• wymaganiami ustawy z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych,
• niniejszą Polityką Bezpieczeństwa,
• Instrukcją Zarządzania Systemem Informatycznym w CMS Sp. z o.o.
1. CMS Sp. z o.o. prowadzi ewidencję osób upoważnionych do przetwarzania danych
osobowych, zgodnie z załącznikiem nr 4 do niniejszej Polityki.
2. Wszystkie zainstalowane programy na stacjach roboczych pochodzą z legalnego źródła,
Administrator Systemu Informatycznego posiada wszystkie dokumenty potwierdzające
legalność używanego oprogramowania.
3. CMS Sp. z o.o. wdrożył niniejszą Politykę Bezpieczeństwa oraz Instrukcję Zarządzania
Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.
4. Usystematyzowano sposób zarządzania uprawnieniami użytkowników w systemie
informatycznym dla wszystkich użytkowników, określono zakresy dostępu do systemu
informatycznego.
5. Monitory użytkowników zostały ustawione w taki sposób, że osoby postronne nie mają
możliwości wglądu w treść wyświetlaną na ekranie.
6. Na komputerach, na których przetwarzane są dane osobowe zainstalowano automatyczne
wygaszacze ekranu blokujące po 10 minutach bezczynności dostęp do stacji roboczej.
7. Każdy użytkownik w sytuacji opuszczenia stanowiska pracy zobligowany jest do
zablokowania stacji roboczej przed osobami postronnymi.
8. Osoby nieupoważnione, znajdujące się w pomieszczeniach, gdzie przetwarza się dane
osobowe, mogą przebywać tylko w obecności osoby posiadającej upoważnienie do
przetwarzania danych osobowych.
9. Pracownicy, którzy przetwarzają dane osobowe w formie papierowej zobowiązani są do
zabezpieczenia ich przed osobami niemającymi upoważnienia do przetwarzania danych
poprzez odpowiednie ich przechowywanie i/lub niszczenie.
10. Dane archiwalne przechowywane są w zamkniętych szafach w siedzibie CMS Sp. z o.o.
Postanowienia końcowe
W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy ustawy z dnia 29
sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz.
926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024).
9
Załączniki
Załącznik nr 1 – wykaz budynków i spis pomieszczeń.
Załącznik nr 2 – wykaz zbioru danych osobowych.
Załącznik nr 3 – diagram przepływu danych.
Załącznik nr 4 – ewidencja osób upoważnionych do przetwarzania danych.
10