polityka bezpieczeństwa przetwarzania danych systemu

Transkrypt

Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z
1.0
siedzibą w Poznaniu (61-611) przy ul. Naramowickiej 217A lok 51
Polityka bezpieczeństwa
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH SYSTEMU
INFORMATYCZNEGO
COACH HIRE POLAND AND INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA
2012-10-1
S t r o n a | 1 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Spis treści
I.
Preambuła..........................................................................................................................................................2
II.
Definicje..........................................................................................................................................................2
III.
Wykaz budynków........................................................................................................................................2
IV.
Wykaz zbiorów danych osobowych......................................................................................................2
V.
Struktury zbiorów danych............................................................................................................................2
VI.
Przepływ danych pomiędzy systemami..............................................................................................2
VII.
Środki techniczne i organizacyjne........................................................................................................2
a.
Cele i zasady funkcjonowania Polityki Bezpieczeństwa....................................................................2
b.
Opis zagrożeń i naruszeń.............................................................................................................................2
c.
System i jego elementy................................................................................................................................2
d.
Stacja Robocza.................................................................................................................................................2
VIII.
Wymagania Ustawowe..........................................................................................................................2
a.
Trwałe usuwanie danych..............................................................................................................................2
b.
Tabela kontrolna..............................................................................................................................................2
IX.
Postanowienia końcowe............................................................................................................................2
S t r o n a | 2 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
I.
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Preambuła
Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji
przetwarzania
danych
osobowych
oraz
warunków
technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr
100 poz. 1024), administrator danych obowiązany jest do opracowania
w formie
pisemnej
i
wdrożenia
polityki
bezpieczeństwa.
Polityka
bezpieczeństwa jest zestawem praw, reguł i praktycznych doświadczeń
regulujących
sposób
zarządzania,
ochrony
i
dystrybucji
danych
osobowych przez COACH HIRE POLAND AND INCOMING TRAVEL GROUP
S.C. D.CIEPIELEWSKI, M.OTAWA, z siedzibą w Poznaniu (61-611) przy ul.
Naramowickiej 217A lok 51.
Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U.
2002 r. Nr 101 poz. 926, ze zm.), polityka bezpieczeństwa, o której
mowa w rozporządzeniu powinna odnosić sie całościowo do problemu
zabezpieczenia danych osobowych u administratora danych tj. zarówno
do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych
przetwarzanych w systemach informatycznych.
Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy
wykonać oraz ustanowienie zasad i reguł postępowania, które należy
S t r o n a | 3 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
stosować, aby właściwie wykonać obowiązki administratora danych
w zakresie zabezpieczenia danych osobowych, o których mowa w § 36
ustawy. Dokument polityki bezpieczeństwa deklaruje zaangażowanie
kierownictwa i wyznacza podejście firmy do zarządzania bezpieczeństwem
informacji.
II.
Definicje
1) Administrator Bezpieczeństwa Informacji (ABI) - osoba wyznaczona
przez
Administratora
bezpieczeństwo
danych
Danych
osobowych
Osobowych,
odpowiedzialna
przetwarzanych
we
za
wskazanych
systemach informatycznych.
2) Administrator Danych Osobowych (ADO) - osoba wyznaczona przez
zgromadzenie wspólników „Coach Hire”.
3) Administrator
Systemu
Informatycznego
(ASI)
-
osoba
odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych
zabezpieczeń
systemu
informatycznego
do
przetwarzania
danych
osobowych w „Coach Hire” (może to być administrator sieci lokalnej,
systemu operacyjnego, bazy danych itp.).
4) Bezpieczeństwo
Systemu
Informatycznego
-
wdrożenie
przez
administratora danych osobowych lub osobę przez niego uprawnioną
środków organizacyjnych i technicznych w celu zabezpieczenia oraz
ochrony
danych
przed
dostępem,
modyfikacją,
ujawnieniem,
pozyskaniem lub zniszczeniem.
5) Dane Osobowe - rozumie się przez to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania Osoby Fizyczne, której
tożsamość można określić bezpośrednio lub pośrednio, w szczególności
S t r o n a | 4 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub społeczne bez nadmiernych
nakładów finansowych, czasowych lub działań.
6) Instrukcja – oznacza Instrukcję Zarządzania System Informatycznym
służącym do przetwarzania danych osobowych COACH HIRE POLAND AND
INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, będącą
załącznikiem do Polityki Bezpieczeństwa.
7) „Coach Hire” – oznacza COACH HIRE POLAND AND INCOMING TRAVEL
GROUP S.C. D.CIEPIELEWSKI, M.OTAWA, z siedzibą w Poznaniu (61-611)
przy ul. Naramowickiej 217A lok 51.
8) Osoba
Fizyczna
–
oznacza
osobę
fizyczną
lub
osobę
fizyczną
prowadzącą działalność gospodarczą.
9) Osoba Upoważniona - osoba posiadająca upoważnienie wydane przez
Administratora Danych Osobowych (lub osobę uprawnioną przez niego) i
dopuszczona,
jako
Użytkownik
Systemu
do
przetwarzania
danych
osobowych w Systemie Informatycznym danej komórki organizacyjnej w
zakresie wskazanym w upoważnieniu (listę osób upoważnionych do
przetwarzania danych osobowych posiada Administrator Bezpieczeństwa
Informacji).
10)
Osoba Uprawniona - osoba posiadająca upoważnienie wydane przez
Administratora Danych Osobowych do wykonywania w jego imieniu
określonych czynności.
11)
Portal
–
oznacza
aplikację
internetową
udostępnioną
w
sieci
publicznej Internet funkcjonującą pod domeną busonroad.com.
12)
Przełożony Użytkownika Systemu – osoba, przełożony, której
podlega Użytkownik Systemu.
S t r o n a | 5 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
13)
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
Przetwarzanie Danych Osobowych - wykonywanie jakichkolwiek
operacji
na
danych
przechowywanie,
usuwanie,
a
osobowych,
takich
opracowywanie,
zwłaszcza
te,
jak
zbieranie,
zmienianie,
które
utrwalanie,
udostępnianie
wykonuje
się
w
i
ich
systemach
informatycznych.
14)
Rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania
danych
organizacyjnych,
jakim
osobowych
powinny
oraz
warunków
odpowiadać
technicznych
urządzenia
i
i
systemy
informatyczne służące do przetwarzania danych osobowych. (Dz. U. z
2004 r. Nr 100, poz. 1024)
15)
Stacja Robocza – stacjonarny lub przenośny komputer wchodzący w
skład systemu informatycznego umożliwiający Użytkownikom Systemu
dostęp do danych osobowych znajdujących się w systemie.
16)
System Informatyczny - zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych.
17)
Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych wraz ze zmianami.
18)
Użytkownik
Systemu
-
osoba
posiadająca
uprawnienia
do
przetwarzania danych osobowych w systemie informatycznym.
19)
Użytkownik
Osobowych
Uprawniony
lub
–
Administratora
oznacza
Systemu
Administratora
Danych
Informatycznego
lub
Administratora Bezpieczeństwa Informacji lub Osobę Uprawnioną lub
Osobę Upoważnioną.
20)
Zbiór danych osobowych - każdy posiadający strukturę zestaw
danych
o
charakterze
osobowym,
dostępnych
S t r o n a | 6 / 32
Parafka
według
określonych
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub
podzielony funkcjonalnie.
III.
Wykaz budynków
W rozdziale tym znajduje się wykaz budynków, pomieszczeń lub części
pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
Podstawa prawna: Rozporządzenie § 4 ust. 1.
Lp.
1.
Adres - budynek
Pomieszczenia
Poznań (61-611),ul. Naramowicka Wydzielone pomieszczenie
217A lok 51
Dane Osobowe są przetwarzane w budynku wielorodzinnym znajdującym się
na osiedlu mieszkalnym. Teren osiedla jest ogrodzony i chroniony przez
firmę ochroniarska. Wejście na osiedle jest chronione drzwiami zamkniętymi
na klucz. Wejście do budynku jest zamknięte na klucz. Drzwi wejściowe do
pomieszczeń jest chronione zamkiem patentowym – model "Witex super
lock". W przypadku, gdy w pomieszczeniu nie przebywa Użytkownik
Uprawniony pomieszczenie jest zamknięte na klucz.
S t r o n a | 7 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
IV.
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Wykaz zbiorów danych osobowych
W rozdziale tym znajduje się wykaz zbiorów danych osobowych wraz ze
wskazaniem programów zastosowanych do przetwarzania tych danych.
LP.
Nazwa zbioru
1
Forma i narzędzia
Aplikacja
internetowa
wykonana w
technologii
Django Pyton
baza danych
mySQL
Dane użytkowników
Wskazany wyżej zbiór zawiera:
 Dane użytkowników Portalu, którzy dokonali założenia konta poprzez
Panel Klienta,
V. Struktury zbiorów danych
W rozdziale tym znajduje się opis struktury zbiorów danych wskazujący
zawartość poszczególnych pól informacyjnych i powiązania między nimi.
Jednym z elementów Systemu Informatycznego jest baza danych, oparta o
silnik bazy mySQL.
S t r o n a | 8 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
VI. Przepływ danych pomiędzy systemami
W rozdziale tym znajduje się opis sposobu przepływu danych pomiędzy
poszczególnymi systemami.
Przepływ danych między systemami nie występuje. Wszystkie dane są
gromadzone w jednej bazie danych i są powiązane między sobą na zasadzie
relacji pomiędzy Tabelami danych. Z bazy danych korzysta Portal.
VII.
Środki techniczne i organizacyjne
W rozdziale tym znajduje się opis i określenie środków technicznych
i organizacyjnych niezbędnych dla zapewnienia poufności, integralności
i rozliczalności przy przetwarzaniu danych.
Podstawa prawna: Ustawa i Rozporządzenie § 4 ust. 5.
a.Cele
i
zasady
funkcjonowania
Polityki
Bezpieczeństwa
1. „Coach
Hire”
dokłada
wszelkich
starań
celem
zapewnienia
bezpieczeństwa informacji w firmie. W szczególności zapewnia, aby
dane były:
a) przetwarzane zgodnie z prawem,
b) zbierane dla oznaczonych, zgodnych z prawem celów,
c) merytorycznie poprawne i adekwatne w stosunku do celów,
d) przechowywane (tak żeby ich nie udostępniać i nie przechowywać
dłużej niż to konieczne dla osiągnięcia celów).
S t r o n a | 9 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
2. Polityka bezpieczeństwa określa tryb postępowania w przypadku, gdy:
a) zbierane są dane osobowe,
b) przetwarzane są dane osobowe,
c) dochodzi do kontroli przetwarzania danych osobowych,
d) stwierdzono zagrożenie bezpieczeństwa danych osobowych,
e) stwierdzono naruszenie zabezpieczenia systemu informatycznego.
3. Polityka Bezpieczeństwa obowiązuje:
a) Administratora Danych Osobowych
b) Administratora Bezpieczeństwa Informacji
c) Administratora Systemu Informatycznego
d) Osoby Upoważnione
e) Osoby Uprawnione
f) Użytkowników Systemu
g) Przełożonych Użytkowników Systemu
4. Wykonywanie postanowień tego dokumentu ma zapewnić właściwą
reakcję,
ocenę
i
udokumentowanie
przypadków
naruszenia
bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w
celu
przywrócenia
bezpieczeństwa
danych
przetwarzanych
w systemach informatycznych „Coach Hire”.
5. Administratorem Danych Osobowych jest właściciel „Coach Hire”.
6. Administrator Danych Osobowych:
a) formułuje i wdraża warunki techniczne i organizacyjne służące
ochronie danych osobowych przed ich udostępnieniem osobom
nieupoważnionym,
przetwarzaniem
z
zabraniem
naruszeniem
przez
ustawy
uszkodzeniem lub zniszczeniem;
S t r o n a | 10 / 32
Parafka
osobę
oraz
nieuprawnioną,
zmianą,
utratą,
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
b) decyduje o zakresie, celach oraz metodach przetwarzania i ochrony
danych osobowych;
c) odpowiada za zgodne z prawem przetwarzanie danych osobowych
w ”Coach Hire”;
d) wyznacza
Administratora
Bezpieczeństwa
Informacji
danych
zawartych w systemach informatycznych „Coach Hire”, oraz osobę
upoważnioną
do
zastępowania
Administratora
Bezpieczeństwa
Informacji, chyba, że sam wykonuje te czynności;
e) jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe,
kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane, poprzez stosowanie procedur opisanych w Polityce
Bezpieczeństwa oraz Instrukcji.
7. Administrator Bezpieczeństwa Informacji realizuje zadania w zakresie
ochrony danych, a w szczególności:
a) Ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach
Systemów informatycznych „Coach Hire”,
b) Podejmowania stosownych działań zgodnie z niniejszą „ Polityką
bezpieczeństwa” w przypadku wykrycia nieuprawnionego dostępu
do bazy danych lub naruszenia zabezpieczenia danych znajdujących
się w systemie informatycznym,
c) Niezwłocznego informowania Administratora Danych Osobowych lub
osoby
przez
niego
upoważnionej
o
przypadkach
naruszenia
przepisów ustawy o ochronie danych osobowych,
d) Nadzoru
i
kontroli
systemów
informatycznych
służących
przetwarzania danych osobowych i osób przy nich zatrudnionych.
S t r o n a | 11 / 32
Parafka
do
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
8. Osoba
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
zastępująca
Administratora
Bezpieczeństwa
Informacji
powyższe zadania realizuje w przypadku nieobecności Administratora
Bezpieczeństwa Informacji.
9. Osoba zastępująca składa Administratorowi Bezpieczeństwa Informacji
relację z podejmowanych działań w czasie jego zastępstwa.
10.
Do przetwarzania danych mogą być dopuszczone wyłącznie
osoby posiadające upoważnienie nadane przez Administratora Danych
Osobowych zgodnie z zasadami opisanymi w Instrukcji.
11.
„Coach Hire” gwarantuje Osobom Fizycznym, których dane
osobowe są przetwarzane w związku z realizacją jego celów, realizacje
uprawnień gwarantowanych im przez obowiązujące przepisy prawa.
„Załącznik nr 6 – Informacja o zawartości zbioru danych osobowych”
stanowi wzór dokumentu, na bazie którego „Coach Hire” udziela
informacji Osobom Fizycznym.
12.
Każdej Osobie Fizycznej, której Dane Osobowe są przetwarzane
w związku z realizacja celów firmy, przysługuje prawo do uzyskania
informacji o zakresie jej uprawnień związanych z ochroną danych
osobowych, a także prawo do kontroli przetwarzania danych, które jej
dotyczą, zawartych w zbiorach danych na zasadach określonych w art.
32 – 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych.
13.
Osoby Fizyczne, których Dane Osobowe są przetwarzane w
związku z realizacja celów „Coach Hire”, uzyskują informacje o
przysługujących
im
prawach
w
sposób
dokumencie.
S t r o n a | 12 / 32
Parafka
określony
w
niniejszym
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
b.Opis zagrożeń i naruszeń
Lista potencjalnych zdarzeń i zagrożeń, które mogą naruszyć ochronę
Danych Osobowych.
1. W przypadku zaistnienia niżej wymienionych zdarzeń lub zagrożeń
należy zastosować „procedurę postępowania w przypadku naruszenia
ochrony danych osobowych” opisaną w Instrukcji.
2. Zagrożenia losowe zewnętrzne
Określa się np. klęski żywiołowe, przerwy w zasilaniu lub inne działanie
siły wyższej.
Konsekwencje, jakie mogą wystąpić na okoliczność zdarzenia
a) utrata integralności Danych Osobowych, ich zniszczenie,
b) uszkodzenie infrastruktury technicznej systemu, ciągłość systemu
zostaje zakłócona,
c) nie dochodzi do naruszenia poufności danych.
3. Zagrożenia losowe wewnętrzne
Określa się np. niezamierzone pomyłki operatorów, administratora,
awarie sprzętowe, błędy oprogramowania).
Konsekwencje, jakie mogą wystąpić na okoliczność zdarzenia
a) może dojść do zniszczenia danych,
b) może zostać zakłócona ciągłość pracy systemu,
c) może nastąpić naruszenie poufności danych.
4. Zagrożenia zamierzone, świadome i celowe
Są to najpoważniejsze zagrożenia, mogące prowadzić do naruszenia
poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury
technicznej i zakłócenie ciągłości pracy)
Zagrożenia te możemy podzielić na:
S t r o n a | 13 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
a) nieuprawniony dostęp do systemu z zewnątrz (włamanie do
systemu),
b) nieuprawniony dostęp do systemu z jego wnętrza,
c) nieuprawniony przekaz danych,
d) pogorszenie jakości sprzętu i oprogramowania,
e) bezpośrednie zagrożenie materialnych składników systemu.
5. Przypadki
zakwalifikowane,
jako
naruszenie
lub
uzasadnione
podejrzenie naruszenia zabezpieczenia systemu informatycznego, w
którym przetwarzane są dane osobowe to głównie:
a) sytuacje
losowe
lub
nieprzewidziane
oddziaływanie
czynników
zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar,
zalanie
pomieszczeń,
katastrofa
budowlana,
napad,
działania
terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,
b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność
lub
wysoka
temperatura,
elektromagnetycznego,
wstrząsy
oddziaływanie
lub
wibracje
pola
pochodzące
od
urządzeń przemysłowych,
c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na
umyślne działanie w kierunku naruszenia ochrony danych lub wręcz
sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt
pozostawienia serwisantów bez nadzoru,
d) pojawienie się odpowiedniego komunikatu alarmowego od tej części
systemu, która zapewnia ochronę zasobów lub inny komunikat o
podobnym znaczeniu,
e) jakość
danych
oczekiwanego
w
systemie
wskazujące
na
lub
inne
odstępstwo
zakłócenia
systemu
nadzwyczajną i niepożądaną modyfikację w systemie,
S t r o n a | 14 / 32
Parafka
od
lub
stanu
inną
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
f) nastąpiło naruszenie lub próba naruszenia integralności systemu lub
bazy danych w tym systemie,
g) stwierdzono próbę lub modyfikację danych lub zmianę w strukturze
danych bez odpowiedniego upoważnienia (autoryzacji),
h) nastąpiła
niedopuszczalna
manipulacja
danymi
osobowymi
w
systemie,
i) ujawniono osobom nieupoważnionym dane osobowe lub objęte
tajemnicą procedury ochrony przetwarzania albo inne strzeżone
elementy systemu zabezpieczeń,
j) praca
w
systemie
lub
jego
sieci
komputerowej
wykazuje
nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące
na przełamanie lub zaniechanie ochrony danych osobowych - np.
praca przy komputerze lub w sieci osoby, która nie jest formalnie
dopuszczona
do
jego
obsługi,
sygnał
o
uporczywym
nieautoryzowanym logowaniu, itp.,
k) ujawniono istnienie nieautoryzowanych kont dostępu do danych lub
tzw. "bocznej furtki", itp.,
l) podmieniono lub zniszczono nośniki z danymi osobowymi bez
odpowiedniego
upoważnienia
lub
w
sposób
niedozwolony
skasowano lub skopiowano dane osobowe,
m)rażąco naruszono dyscyplinę pracy w zakresie przestrzegania
procedur bezpieczeństwa informacji (nie wylogowanie się przed
opuszczeniem stanowiska pracy, pozostawieni danych osobowych w
drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem,
nie wykonanie w określonym terminie kopii bezpieczeństwa, prace
na danych osobowych w celach prywatnych, itp.).
S t r o n a | 15 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
6. Za
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
naruszenie
ochrony
danych
uważa
się
również
stwierdzone
nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania
danych
osobowych
archiwalne
i
(otwarte
inne)
(wydrukach),
na
kliszy,
szafy,
nośnikach
folii,
biurka,
regały,
tradycyjnych
zdjęciach,
tj.
nośnikach
urządzenia
na
papierze
elektronicznych
w formie niezabezpieczonej itp.
7. Uwzględniając
kategorie
zidentyfikowane
systemów
w
przetwarzanych
wyniku
przeprowadzonej
informatycznych,
bezpieczeństwa.
danych
stosuje
Administrator
oraz
analizy
się
zagrożenia
ryzyka
wysoki
Bezpieczeństwa
dla
poziom
Informacji
i Administrator Systemów Informatycznych przeprowadzają okresową
analizę ryzyka dla poszczególnych elementów systemu i na tej
podstawie
przedstawiają
propozycje
dotyczące
i organizacyjnych,
Administratorowi
zastosowania
celem
zapewnienia
Danych
środków
Osobowych
technicznych
właściwej
ochrony
przetwarzanym danych.
c. System i jego elementy
W punkcie tym opisane zostały środki, jakie zostały przedsięwzięte w celu
eliminacji lub minimalizacji wyżej wymienionych zagrożeń.
1. System składa się między innymi z urządzeń telekomunikacyjnych,
serwerów, systemu operacyjnego, bazy danych oraz z Portalu.
2. Dostawcą usług serwerowych, telekomunikacyjnych oraz administracji
systemem operacyjnym i bazą danych dla elementów Systemu jest
firma home.pl S.A. z siedzibą w Szczecinie, przy ul. Zbozowej 4, 70S t r o n a | 16 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
653 Szczecin, zarejestrowana w Sądzie Rejonowym - Centrum w
Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, z
kapitałem zakładowym w kwocie 1.197.600 złotych w całosci opłacony.
KRS: 0000431335, NIP: 852-21-03-252, REGON: 811158242, zwany
dalej Dostawcą.
3. W dniu 22.08.2014 „Coach Hire” podpisał umowę z Dostawcą, w
ramach której „Coach Hire” powierza Dostawcy przetwarzanie danych,
w której to Dostawca oświadcza, iż stosowane przez niego rozwiązania
technologiczne
oraz
formalne
w
zakresie
oferowanych
usług
hostingowych spełniają wymogi ustawy z dnia 29 sierpnia 1997
o ochronie
danych
wykonawczych,
w
osobowych
szczególności
oraz
związanych
fizycznej
z
kontroli
nią
aktów
dostępu
do
infrastruktury sprzętowej, na której są przechowywane dane osobowe,
zastosowania
odpowiednich
zabezpieczeń
przed
utratą
zasilania,
zastosowania odpowiednich zabezpieczeń oraz wykonywania kopii
bezpieczeństwa, zastosowania odpowiednich zabezpieczeń logicznych.
4. Portal posiada dwa interfejsy. Pierwszym interfejsem jest interfejs
udostępniany publicznie w sieci Internet i jest dedykowany dla
użytkowników
interfejsem
Portalu,
jest
zwany
interfejs
dalej
Panelem
administracyjny
Klienta.
zwany
dalej
Drugim
Panelem
Administratora, przy pomocy, którego Użytkownicy Systemu logują się
do Systemu w celu przetwarzania Danych Osobowych.
5. Panel Klienta jest zabezpieczony przed indeksacją przez wyszukiwarki
Danych Osobowych.
6. Poprzez Panel Klienta użytkownicy mogą, założyć indywidualne konto
na Portalu, dokonać logowania na swoje konto na Portalu. Po
zalogowaniu się mają dostęp do swoich danych osobowych. Proces
S t r o n a | 17 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
rejestracji i logowania odbywa się poprzez szyfrowane połączenie SSL,
co zabezpiecza przesyłanie danych wrażliwych przez sieć Internet.
7. W celu zabezpieczenia przed nieuprawnionym dostępem do Panelu
Administratora, jest on zabezpieczony przed indeksacją wyszukiwarek
internetowych
poprzez
odpowiednie
Portalu
poprzez
ukrycie
oraz
zabezpieczenia
adresu
w konfiguracji
internetowego
do
Panelu
Administratora, który nie jest ogólnie dostępny i znany jedynie
Użytkownikom Uprawnionym i Użytkownikom Systemu.
8. Połączenie z Panelem Administratora odbywa się poprzez szyfrowane
połączenie SSL.
9. Portal wymusza połączenie szyfrowane połączenie, o którym mowa w
punkcie poprzednim.
10.
Certyfikat SSL szyfruje połączenie 256 bit kluczem i jest
wystawiony przez akredytowane do tego celów centrum certyfikacji.
d.Stacja Robocza
1. Administrator
Systemu
Informatycznego
jest
zobowiązany
do
spełnienia wszystkich postanowień niniejszego podrozdziału, wdrożenia
i monitorowania opisanych zabezpieczeń na wszystkich Stacjach
Roboczych.
2. Stacje Robocze wyposażone są w system operacyjny Windows, firmy
Microsoft lub OS X Mavericks, firmy Apple. System operacyjny ma
włączoną funkcję automatycznej instalacji wszystkich aktualizacji
systemu, jakie publikuje i zaleca producent oprogramowania, jako
ważne. Poprawki te mają na celu maksymalne zabezpieczenie Stacji
S t r o n a | 18 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Roboczej przed zagrożeniami, jakie niesie używanie Stacji Roboczej
działającej w sieci Internet.
3. W celu uruchomienia i zalogowania się do Systemu Użytkownik
Systemu powinien uruchomić przeglądarkę internetową. Przeglądarka
internetowa
jest
automatycznie
aktualizowana
do
najnowszej,
udostępnianej przez jej producenta wersji.
4. Zabrania się Użytkownikom Systemu korzystania z funkcji przeglądarki
internetowej służącej do zapamiętywania nazwy użytkownika i/lub
hasła dostępowego do Panelu Administratora.
5. Stacja Robocza posiada zainstalowane oprogramowanie antywirusowe
mające na celu wykrywanie i zabezpieczenia Stacji Roboczej. Program
antywirusowy ma włączoną automatyczną aktualizację zarówno wersji
oprogramowania antywirusowego jak i list i definicji wirusów.
6. Stacja Robocza ma włączony systemowy firewall, którego zadaniem
jest zabezpieczenie Stacji Roboczej przed nieuprawnionym dostępem
z zewnątrz.
7. Stacja Robocza jest zabezpieczona hasłem dostępowym na poziomie
dostępu do system operacyjnego Stacji Roboczej.
8. Hasła, o których mowa w punkcie powyżej są zmieniane przez
Użytkownika Systemu nie rzadziej, niż co 30 dni.
9. Na Stacji Roboczej prawa administratora systemu operacyjnego ma
jedynie Administrator Bezpieczeństwa Informacji. Użytkownik Systemu
na
Stacji
Roboczej
ma
prawa
na
nie
może
poziomie
użytkownika
zaawansowanego.
10.
Użytkownik
Systemu
instalować
żadnego
oprogramowania bez wcześniejszej pisemnej zgody Administratora
Bezpieczeństwa Informacji.
S t r o n a | 19 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
11.
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Użytkownicy Systemu mają dostęp do sieci Internet poprzez
modem dostępowym do sieci Internet. Modem ma zewnętrzny adres
IP. Modem posiada zabezpieczenie, które nie pozwala na autoryzację i
dostęp do modemu z zewnątrz sieci. Konfiguracja modemu możliwa
jest tylko z sieci wewnętrznej. Modem posiada wbudowany firewall
blokujący nieautoryzowane pakiety z zewnątrz. Stacje Robocze są w
sieci wewnętrznej i otrzymują adresy IP z wewnętrznej adresacji
modemu. Dostęp Stacji Roboczych do modemu odbywa się poprzez
sieć
bezprzewodową.
zabezpieczony
Dostęp
hasłem
w
do
sieci
autoryzacji
bezprzewodowej
Mixed
jest
WPA2/WPA-PSK.
Dodatkowo na routerze ustawiony jest filtr adresów MAC kart
sieciowych, który dopuszcza połączenie z routerem tylko autoryzowane
Stacje Robocze posiadające określony MAC adres karty sieciowej.
12.
Na
fakt
naruszenia
zabezpieczeń
Stacji
Roboczej
mogą
wskazywać:
a) nietypowy stan stacji roboczej (np. brak zasilania, problemy
z uruchomieniem);
b) wszelkiego
komunikaty
rodzaju
różnice
informujące
w
funkcjonowaniu
o błędach,
brak
systemu
(np.
dostępu do funkcji
systemu, nieprawidłowości w wykonywanych operacjach);
c) inne nadzwyczajne sytuacje.
13.
W przypadku wystąpienia sytuacji opisanych w powyższym
punkcie
Użytkownik
Systemu
zobowiązany
jest
poinformować
Administratora Systemu Informatycznego, a w razie stwierdzenie
naruszenia bezpieczeństwa zastosować się do procedury opisanej
w Instrukcji.
S t r o n a | 20 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
VIII.
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
Wymagania Ustawowe
W rozdziale tym znajduje się lista wymogów, jakie wynikają z Ustawy oraz z
Rozporządzenia.
Celem Tabeli jest wskazanie rozdziałów Polityki Bezpieczeństwa oraz
Instrukcji, które opisują spełnienie wymagań wynikających z Ustawy oraz z
Rozporządzenia. Ma ona cel informacyjny.
L.p
Wymaganie
Pochodzen
ie
Artyk
uł
1
System
umożliwia
dokonywanie
wglądu i
weryfikacji
przetwarzanych
danych
osobowych
osobie, której
te dane dotyczą
System
umożliwia
trwałe
usuwanie
danych, dla
których cel
przetwarzania
został
osiągnięty.
Numery
porządkowe
stosowane w
ewidencji
ludności
spełniają
wymóg art. 28.
ust 2 uodo.
uodo
art.
24, ust
1, pkt
3
uodo
uodo
2
3
Wymóg
ustawo
wy
Tak
Spełnien
ie
wymogu
Tak
art.
26, ust
1, pkt
4
Tak
Tak
art.
28, ust
2
Tak
Tak
S t r o n a | 21 / 32
Parafka
Sposób
realizacji
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
4
5
6
7
8
9
1.0
Elementy
numerów
porządkowych
w systemie
ewidencjonując
ym osoby
fizyczne nie
posiadają
ukrytych
znaczeń.
System
zapewnia
autoryzację
użytkowników
System
umożliwia
jednoznaczne
wskazania
użytkownika,
który określone
dane
wprowadził lub
zmieniał z
podaniem dat
operacji.
System
powinien
umożliwiać
odnotowywanie
, komu dane
zostały
przekazane.
Odnotowanie
daty
pierwszego
wprowadzenia
danych do
systemu.
Odnotowanie
identyfikatora
użytkownika
wprowadzające
go dane do
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
uodo
art.
28, ust
3
Tak
Tak
uodo
art. 38
Tak
Tak
uodo
art. 38
Tak
Tak
uodo
art. 38
Tak
Nie
dotyczy
rozp.mswia
§7
Tak
Tak
rozp.mswia
§7
Tak
Tak
S t r o n a | 22 / 32
Parafka
Instrukcja
pkt. VII
Instrukcja
pkt. XIV
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
systemu
10
11
12
13
14
Odnotowanie
źródła danych
Odnotowanie
informacji o
odbiorcach,
dacie i zakresie
udostępnienia
Odnotowanie
sprzeciwu, o
którym mowa w
art. 32 ust. 1
pkt 8 ustawy
Dla każdej
osoby, której
dane osobowe
są
przetwarzane w
systemie
informatycznym
, system
zapewnia
sporządzenie i
wydrukowanie
raportu
zawierającego
w powszechnie
zrozumiałej
formie
informacje, o
których mowa
w ust. 1 mswia
§7 (1-5)
Odnotowanie
informacji, o
których mowa
w ust. 1 pkt 1 i
2 (daty
pierwszego
wprowadzenia i
identyfikatora),
rozp.mswia
§7
Tak
Tak
rozp.mswia
§7
Tak
Nie
dotyczy
rozp.mswia
§7
Tak
Tak
rozp.mswia
§7
Tak
Tak
rozp.mswia
§7
Tak
Tak
S t r o n a | 23 / 32
Parafka
Instrukcja
pkt. XIV
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
15
16
17
1.0
następuje
automatycznie
po
zatwierdzeniu
przez
użytkownika
operacji
wprowadzenia
danych.
System
zapewnia
odnotowanie
informacje o
odbiorcach
danych w
rozumieniu art.
7 pkt 6 uodo.
Obszar
przetwarzania
jest
zabezpieczony
przed dostępem
osób
nieuprawnionyc
h na czas
nieobecności w
nim osób
upoważnionych
do
przetwarzania
danych
osobowych.
Przebywanie
osób
nieuprawnionyc
h w obszarze
przetwarzania,
jest
dopuszczalne
za zgodą
administratora
danych lub w
obecności
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
rozp.mswia
§7,
pkt 4
Tak
Nie
dotyczy
Instrukcja
pkt. XIV
rozp.mswia
Zał. AI,1
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. V
rozp.mswia
Zał. AI,2
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. V
S t r o n a | 24 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
osoby
upoważnionej
do
przetwarzania
danych
osobowych.
18
19
20
21
W systemie
informatycznym
stosuje się
mechanizmy
kontroli
dostępu do
danych
System
zapewnia
odrębny
identyfikator
rejestrowany
dla każdego
użytkownika.
rozp.mswia
Dostęp do
danych jest
możliwy
wyłącznie po
wprowadzeniu
identyfikatora i
dokonaniu
uwierzytelnienia
.
System posiada
zabezpieczenia
przed
działaniem
oprogramowani
a, którego
celem jest
uzyskanie
nieuprawnioneg
o dostępu do
systemu
informatyczneg
rozp.mswia
Zał. AII,1
Tak
Tak
Instrukcja
pkt. III
rozp.mswia
Zał. AII,2 a)
Tak
Tak
Instrukcja
pkt. III
rozp.mswia
Zał. AII,2 b)
Tak
Tak
Instrukcja
pkt. III
rozp.mswia
Zał. AIII,1
Tak
Tak
Instrukcja
pkt. XIII
S t r o n a | 25 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
o.
22
23
24
25
System posiada
zabezpieczenia
przed utratą
danych
spowodowaną
awarią zasilania
lub
zakłóceniami w
sieci zasilającej.
Identyfikator
użytkownika,
który utracił
uprawnienia do
przetwarzania
danych, nie jest
przydzielany
innej osobie
Dane osobowe
przetwarzane w
systemie
informatycznym
zabezpiecza się
przez
wykonywanie
kopii
zapasowych
zbiorów danych
przetwarzania
danych.
Kopie zapasowe
przechowuje się
w miejscach
zabezpieczający
ch je przed
nieuprawniony
m przejęciem,
modyfikacją,
uszkodzeniem
rozp.mswia
Zał. AIII,2
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. VIII
c) 2-3
rozp.mswia
Zał. AIV,1
Tak
Tak
Instrukcja
pkt. III.8-9
rozp.mswia
Zał. AIV,3
Tak
Tak
Instrukcja
pkt. XII
rozp.mswia
Zał. AIV,4 a)
Tak
Tak
Instrukcja
pkt. XII
S t r o n a | 26 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
lub
zniszczeniem.
26
27
28
29
Kopie zapasowe
usuwa się
niezwłocznie po
ustaniu ich
użyteczności.
Zmiana hasła,
następuje nie
rzadziej niż co
30 dni.
W systemie
dopuszczone
jest
przetwarzanie
danych
osobowych na
komputerach
przenośnych Do
ochrony danych
osobowych na
komputerach
przenośnych
stosowane są
środki ochrony
kryptograficznej
.
Proces
likwidacji
elektronicznych
nośników
informacji
zawierających
dane osobowe
odbywa się w
sposób
uniemożliwiając
y ich
odczytanie.
rozp.mswia
Zał. AIV,4 b)
Tak
Tak
Instrukcja
pkt. XII
rozp.mswia
Zał. AIV,2
Tak
Tak
Instrukcja
pkt. VII.1011
rozp.mswia
Zał. AV
Tak
Nie
dotyczy
Stacje
Robocze nie
przechowują
Danych
Osobowych
rozp.mswia
Zał. AVI, 1
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
S t r o n a | 27 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
30
31
1.0
Proces
pozbawienia
zapisu danych
osobowych na
elektronicznych
nośnikach
informacji,
przeznaczonych
do przekazania
podmiotowi
nieuprawnione
mu do
przetwarzania
tych danych,
odbywa się w
sposób
uniemożliwiając
y ich
odzyskanie.
Proces
pozbawienia
elektronicznych
nośników
informacji
przeznaczonych
do naprawy,
zapisu danych
osobowych,
odbywa się w
sposób
uniemożliwiając
y ich
odzyskanie lub
naprawia się je
pod nadzorem
osoby
upoważnionej
przez ADO.
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
rozp.mswia
Zał. AVI, 2
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
rozp.mswia
Zał. AVI, 3
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
S t r o n a | 28 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
32
33
34
35
1.0
Hasło służące
do
uwierzytelniania
użytkowników
składa się co
najmniej z 8
znaków,
zawiera małe i
wielkie litery
oraz cyfry lub
znaki specjalne
(dotyczy
podwyższonego
poziomu
bezpieczeństwa
).
System posiada
zabezpieczenia
fizyczne przed
zagrożeniami
nieuprawnioneg
o dostępu z
sieci publicznej.
System posiada
zabezpieczenia
logiczne przed
zagrożeniami
nieuprawnioneg
o dostępu z
sieci publicznej.
Zabezpieczenia
logiczne
obejmują
kontrolę
przepływu
informacji
pomiędzy
systemem
informatycznym
a siecią
publiczną.
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
rozp.mswia
Zał. BVIII
Tak
Tak
Instrukcja
pkt. VII.7
rozp.mswia
Zał. CXII, 1
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
rozp.mswia
Zał. CXII, 1
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
rozp.mswia
Zał. CXII, 2
a)
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
S t r o n a | 29 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
36
37
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
Zabezpieczenia
logiczne
obejmują
kontrolę działań
inicjowanych z
sieci publicznej
i systemu
informatyczneg
o.
W systemie
zastosowano
środki
kryptograficznej
ochrony wobec
danych
wykorzystywan
ych do
uwierzytelnienia
, które są
przesyłane w
sieci publicznej.
rozp.mswia
Zał. CXII, 2
b)
Tak
Tak
Polityka
Bezpieczeńst
wa pkt. pkt.
VIII c) 2-3
rozp.mswia
Zał. CXIII
Tak
Tak
Instrukcja
pkt. XIII.4
IX. Postanowienia końcowe
1. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu
informatycznego lub uzasadnionego domniemania takiego naruszenia
nie
podjęła
działania
a w szczególności
nie
określonego
powiadomiła
w
niniejszym
odpowiedniej
dokumencie,
osoby
zgodnie
z określonymi zasadami, a także, gdy nie zrealizowała stosownego
działania dokumentującego ten przypadek, wszczyna się postępowanie
dyscyplinarne.
2. Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić
ewidencję osób, które zostały zapoznane z niniejszym dokumentem
i zobowiązują się do stosowania zasad w nim zawartych wg wzoru
stanowiącego Załącznik nr 5 do niniejszego dokumentu.
S t r o n a | 30 / 32
Parafka
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
1.0
3. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z
niniejszego
dokumentu
mogą
być
potraktowane,
jako
ciężkie
naruszenie obowiązków pracowniczych, w szczególności przez osobę,
która wobec naruszenia zabezpieczenia systemu informatycznego lub
uzasadnionego domniemania takiego naruszenia nie powiadomiła o
tym Administratora Bezpieczeństwa Informacji.
4. Orzeczona kara dyscyplinarna, wobec osoby uchylającej się od
powiadomienia Administratora Bezpieczeństwa Informacji nie wyklucza
odpowiedzialności karnej tej osoby zgodnie z ustawą z dnia 29 sierpnia
1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002
r. Nr 101, poz. 926 z późniejszymi zmianami) oraz możliwości
wniesienia
wobec
niej
sprawy
z
powództwa
cywilnego
przez
dokumentem
mają
pracodawcę o zrekompensowanie poniesionych strat.
5. W
sprawach
nieuregulowanych
niniejszym
zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie
danych osobowych( tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 –
z
późniejszymi
zmianami),
rozporządzenia
Ministra
Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji
przetwarzania
danych
osobowych
oraz
warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych
(Dz.
U.
Nr
100,
poz.
1024)
oraz
rozporządzenie
Ministra
Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu
technicznego
przygotowania systemów
i sieci do przekazywania
informacji – do gromadzenia wykazów połączeń telefonicznych i innych
przekazów
informacji
oraz
sposobów
informatycznych (Dz. U. Nr 100, poz. 1023).
S t r o n a | 31 / 32
Parafka
zabezpieczenia
danych
Nazwa jednostki
organizacyjnej
Tytuł dokumentu
Wersja dokumentu
6. Niniejsza
systemem
1.0
Data utworzenia
01.10.2012
Data aktualizacji
12.08.2014
„Polityka
bezpieczeństwa”
informatycznym
i
służącym
„Instrukcja
do
zarządzania
przetwarzania
danych
osobowych” w „Coach Hire” wchodzi w życie z dniem jej podpisania
przez Administratora Danych Osobowych.
7. Lista Załączników:
a) Instrukcja
Zarządzania
System
Informatycznym
przetwarzania danych osobowych
służącym
do
COACH HIRE POLAND AND
INCOMING TRAVEL GROUP S.C. D.CIEPIELEWSKI, M.OTAWA.
b) Załącznik nr 1 – Oświadczenie
c) Załącznik nr 2 - Upoważnienie
d) Załącznik nr 3 - Rejestr osób upoważnionych
e) Załącznik nr 4 - Raport naruszenia bezpieczeństwa Systemu
Informatycznego
f) Załącznik nr 5 – Lista osób
g) Załącznik nr 6 – Informacja o zawartości zbioru danych osobowych
h) Załącznik nr 7 - Struktury zbiorów danych osobowych
Imię i nazwisko
Data
S t r o n a | 32 / 32
Parafka
Podpis

polityka bezpieczeństwa przetwarzania danych systemu

Transkrypt

Podobne dokumenty

Agnieszka Woś - Coach, Konsultant, Trener Biznesu. Praktyk

WIOśLARZ PRODUKT firmy KETTLER COACH E - Med

forum dla aktywnych mam

dr Sylwia Cichowska

Strona www wizytówką firmy - tworzenie atrakcyjnych treści w

Program 28.02.2017 Zarządzanie czasem

Kariera i rozwój z punktu widzenia pracownika

Strategia krok po kroku

Jak zaprojektować własny biznes?