POLITYKA BEZPIECZEŃSTWA w Konfacela Studio haftu i szycia

 

Część I – Wstęp

 

§ 1

Zgodnie z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych                (Dz.U. z 1997 Nr 133 poz. 883), zwanej dalej „ustawą” oraz z § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), zwanego dalej „rozporządzeniem”, ustanawia się „Politykę Bezpieczeństwa”.

 

§ 2

Ilekroć w niniejszym dokumencie jest mowa o jednostce organizacyjnej, należy przez to rozumieć Konfacela Studio haftu i szycia.

 

Część II – Zasady przetwarzania i ochrony danych osobowych

                                                                       § 1

Każda osoba, mająca dostęp do danych osobowych przetwarzanych w jednostce organizacyjnej jest zobowiązana do zapoznania się z niniejszym dokumentem.

                                                     

                                                           § 2

Wymagany przez rozporządzenie wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszego dokumentu.

 

 

                                                        

                                                             § 3

Wymagany przez rozporządzenie wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, stanowi załącznik nr 2 do niniejszego dokumentu.

                                                             § 4

Osoby, które przetwarzają w jednostce organizacyjnej dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych (załącznik nr 3 do niniejszego dokumentu) oraz podpisać oświadczenie                  o zachowaniu poufności tych danych (załącznik nr 4 do niniejszego dokumentu).

                                                                        

                                                                         § 5

Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada swój identyfikator oraz hasło, pozwalające na zalogowanie się do systemu informatycznego,          w którym przetwarzane są dane osobowe. Techniczne wymagania, jakie musi spełniać hasło, określone zostały w części II § 2 Instrukcji Zarządzania Systemem Informatycznym.

 

                                                                         § 6

W przypadku konieczności dostępu do obszaru przetwarzania osób, nieposiadających upoważnienia, o jakim mowa w § 4 (załącznik nr 3 do niniejszego dokumentu), które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie  o zachowaniu poufności (załącznik nr 4 do niniejszego dokumentu), chyba że czynności odbywają się pod nadzorem osoby upoważnionej do przetwarzania danych.

 

                                                                        § 7

Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 31 ustawy.

                         

                                                                         § 8

Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.

    

                                                                        § 9

Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz.

W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce. 

 

                                                                        § 10

Zasady przetwarzania danych osobowych w systemie informatycznym określone są
w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Konfacela Studio haftu i szycia”.

 

                                                                        § 11

Nadzór nad przetwarzaniem danych osobowych w jednostce organizacyjnej sprawuje osoba kierująca prowadzoną działalnością. Osoba ta może wyznaczyć pełnomocnika ds. danych osobowych do którego zadań będzie należało bezpośrednie nadzorowanie stanu realizacji procedur związanych z ochroną danych osobowych, a w razie potrzeby także bezpośrednia realizacja procedur w imieniu osoby  kierującej działalnością jednostki organizacyjnej. Pełnomocnictwo dla pełnomocnika ds. danych osobowych stanowi załącznik nr 5 do niniejszego dokumentu. W przypadku wyznaczenia Pełnomocnika ds. danych osobowych należy do niego odnosić obowiązki przewidziane w paragrafach następujących dla osoby nadzorującej przetwarzanie danych.

                                                                         

                                                                        § 12

Osoba nadzorująca przetwarzanie danych prowadzi wykaz zbiorów danych osobowych przetwarzanych w jednostce organizacyjnej (załącznik nr 2 do niniejszego dokumentu) oraz, kiedy jest to wymagane przez przepisy, zgłasza zbiory do rejestracji do GIODO. W ramach nadzoru nad przetwarzaniem danych, osoba ta sprawdza w szczególności cele, zakres przetwarzania, czas przetwarzania oraz sposoby zabezpieczenia danych osobowych. Upoważnienie do przetwarzania danych osobowych (załącznik nr 3 do niniejszego dokumentu) nadaje osoba nadzorująca przetwarzanie danych, która  jest  także zobowiązana do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w jednostce organizacyjnej.

                                                                  

     

§ 13

Osoba nadzorująca przetwarzanie danych prowadzi również następujące wykazy:

a)      ewidencję osób, którym nadano upoważnienia do przetwarzania danych osobowych (załącznik nr 6 do niniejszego dokumentu)

b)      wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowiących obszar przetwarzania (załącznik nr 1 do niniejszego dokumentu)

c)      wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 7 i nr 9 do niniejszego dokumentu)

d)     wykaz podmiotów, z którymi zawarto umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy (załącznik nr 8 do niniejszego dokumentu)

 

                                                                        § 14

Osoby upoważnione do przetwarzania danych mają obowiązek:

a)      przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem

b)      nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym

c)      zabezpieczać je przed zniszczeniem

 

                                                                        § 15

W przypadku otrzymania wniosku o udostępnienie danych osobowych od osoby, której one dotyczą, osoba wyznaczona przez osobę nadzorującą przetwarzanie danych przygotowuje odpowiedź w ciągu 30 dni.

 

 § 16

W przypadku zbierania danych osobowych od osoby, której one dotyczą, osoba nadzorująca przetwarzanie danych jest obowiązana poinformować tę osobę w przystępnej dla niej formie o (w szczególności może to być informacja ustna, zapis w umowie lub regulaminie) o:

a)      adresie swojej siedziby i pełnej nazwie, (lub odpowiednio imieniu, nazwisku i miejscu zamieszkania Administratora Danych Osobowych, jeżeli działa on jako osoba fizyczna)

b)      celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

c)      prawie dostępu do treści swoich danych oraz ich poprawiania,

d)     dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

 

Część III – Postanowienia końcowe

§ 1

Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art. 49-54a ustawy o ochronie danych osobowych.

 

 § 2

W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych       i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

 § 3

Niniejszy dokument wchodzi w życie z dniem 14.06.2016 r.

 

 

Magdalena Serafin-Przybyła

                                                                   podpis Administratora Danych Osobowych

(w przypadku osoby prawnej zgodnie z zasadami reprezentacji)