1. Ten dokument stanowi załącznik do Regulaminu. Korzystając z naszych usług, powierzasz nam swoje informacje. Niniejsza Polityka prywatności służy jedynie jako pomoc w zrozumieniu, jakie informacje i dane są zbierane i w jakim celu oraz do czego je wykorzystujemy. Te dane są bardzo dla nas ważne, dlatego prosimy o dokładne zapoznanie się z tym dokumentem gdyż określa on zasady oraz sposoby przetwarzania i ochrony danych osobowych. Dokument ten określa także zasady stosowania plików „Cookies”.
2. Niniejszym oświadczamy, że przestrzegamy zasad ochrony danych osobowych oraz wszelkich uregulowań prawnych, które są przewidziane Ustawą o ochronie danych osobowych oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
3. Osoba której dane osobowe są przetwarzane ma prawo zwrócić się do nas celem uzyskania wyczerpujących informacji w jaki sposób wykorzystujemy jego dane osobowe. Zawsze w jasny sposób staramy się poinformować o danych, które gromadzimy, w jaki sposób je wykorzystujemy, jakim celom mają służyć i komu je przekazujemy, jaką zapewniamy ochronę tych danych przy przekazaniu innym podmiotom oraz udzielamy informacji o instytucjach z którymi należy się skontaktować w razie wątpliwości.
1. Poważnie traktujemy prywatność. Charakteryzuje nas szacunek dla prywatności oraz możliwie najpełniejsza i zagwarantowana wygoda z korzystania z naszego usług.
2. Cenimy zaufanie, jakim obdarzają nas Użytkownicy, powierzając nam swoje dane osobowe w celu realizacji zamówienia. Zawsze korzystamy z danych osobowych w sposób uczciwy oraz tak, aby nie zawieść tego zaufania, tylko w zakresie niezbędnym do realizacji zamówienia w tym jego przetwarzania.
3. Użytkownik ma prawo do uzyskania jasnych i pełnych informacji o tym, w jaki sposób wykorzystujemy jego dane osobowe i do jakich celów są potrzebne. Zawsze w jasny sposób informujemy o danych, które gromadzimy, w jaki sposób i komu je przekazujemy oraz udzielamy informacji o podmiotach, z którymi należy się skontaktować w razie wątpliwości, pytań, uwag.
4. W razie wątpliwości odnośnie wykorzystywania przez nas danych osobowych Użytkownika, niezwłocznie podejmiemy działania w celu wyjaśnienia i rozwiania takich wątpliwości, w sposób pełny i wyczerpujący odpowiadamy na wszystkie pytania z tym związane.
5. Podejmiemy wszystkie uzasadnione działania, aby chronić dane Użytkowników przed nienależytym i niekontrolowanym wykorzystaniem oraz zabezpieczyć je w sposób kompleksowy.
6. Będziemy przestrzegać wszystkich obowiązujących przepisów i regulacji dotyczących ochrony danych i będziemy współpracować z organami zajmującymi się ochroną danych oraz uprawnionymi do tego organami ścigania. W przypadku braku przepisów dotyczących ochrony danych, będziemy postępować zgodnie z ogólnie przyjętymi zasadami ochrony danych, zasadami współżycia społecznego jak i ustalonymi zwyczajami.
7. Administratorem Państwa danych osobowych jest KOLORY SP Z O.O. Aleksandra Lach; Robert Lupa NIP 6772455442 adres siedziby : ul. Kraszewskiego 2/2, 30-110 Kraków, mail: teraz@kolory.org
8. Podstawą prawną przetwarzania Państwa danych osobowych jest art. 6 ust. 1 lit. b) RODO. Podanie danych nie jest obowiązkowe, ale niezbędne do podjęcia odpowiednich czynności poprzedzających zawarcie umowy oraz jej realizację. Będziemy przekazywać Państwa dane osobowe innym odbiorcom, którym powierzono przetwarzanie danych osobowych w imieniu i na naszą rzecz. Państwa dane będą przekazywane na podstawie art. 6 ust. 1 lit. f) RODO, gdzie prawnie uzasadnionym interesem jest należyte wykonanie umów/zleceń. Ponadto będziemy udostępniać Państwa dane osobowe innym partnerom handlowym. Zebrane dane osobowe przechowujemy na terenie Europejskiego Obszaru Gospodarczego („EOG”), ale mogą one być także przesyłane do kraju spoza tego obszaru i tam przetwarzane. Każda operacja przesyłania danych osobowych jest wykonywana zgodnie z obowiązującym prawem. Jeśli dane są przekazywane poza obszar EOG, stosujemy standardowe klauzule umowne oraz tarczę prywatności jako środki zabezpieczające w odniesieniu do krajów, w przypadku których Komisja Europejska nie stwierdziła odpowiedniego poziomu ochrony danych.
9. Państwa dane osobowe związane z zawarciem i realizacją umowy o realizacje umów przetwarzane będą przez okres ich realizacji, a także przez okres nie dłuższy niż przewidują to przepisy prawa, w tym przepisy Kodeksu cywilnego oraz ustawy o rachunkowości, tj. nie dłużej niż przez 10 lat, licząc od końca roku kalendarzowego w którym ostatnia umowa została wykonana.
10. Państwa dane osobowe przetwarzane w celu zawarcia i wykonania przyszłych umów będą przetwarzane do czasu zgłoszenia sprzeciwu.
11. Przysługuje Państwu prawo do: dostępu do swoich danych osobowych i otrzymania kopii danych osobowych podlegających przetwarzaniu, sprostowania swoich nieprawidłowych danych; żądania usunięcia danych (prawo do bycia zapomnianym) w przypadku wystąpienia okoliczności przewidzianych w art. 17 RODO; żądania ograniczenia przetwarzania danych w przypadkach wskazanych w art. 18 RODO, wniesienia sprzeciwu wobec przetwarzania danych w przypadkach wskazanych w art. 21 RODO, przenoszenia dostarczonych danych, przetwarzanych w sposób zautomatyzowany.
12. Jeżeli uważacie Państwo, że dane osobowe są przetwarzane niezgodnie z prawem, możecie wnieść skargę do organu nadzorczego (Urząd Ochrony Danych Osobowych, ul. Stawki 2, Warszawa). Jeśli potrzebujecie Państwo dodatkowych informacji związanych z ochroną danych osobowych lub chcecie skorzystać z przysługujących praw, skontaktujcie się z nami listownie na adres korespondencyjny.
13. Dokładny sposób ochrony danych osobowych został zawarty w polityce ochrony danych osobowych (ODO: polityka bezpieczeństwa, regulamin ochrony danych osobowych, instrukcja zarządzania systemem informatycznym) Z przyczyn bezpieczeństwa, ze względu na opisane w niej procedury, jest ona do wglądu jedynie dla organów kontroli państwowej.
14. W razie pytań, odnośnie sposobu, w jaki postępowania z danymi osobowymi, zapraszamy do kontaktu za pomocą strony, z której użytkownik został przekierowany do niniejszej Polityki prywatności. Prośba o kontakt zostanie niezwłocznie przekazana do odpowiedniej powołanej do tego osoby.
15. Aby ułatwić nam odpowiedź bądź ustosunkowanie się do podanych informacji, prosimy o podanie imienia i nazwiska oraz dalej idących szczegółów.
1. Przetwarzamy niezbędne dane osobowe w celu realizacji usług oraz w celach księgowych i tylko takich tj. :
a) w celu złożenia zamówienia,
b) w celu zawarcia umowy, reklamacji oraz odstąpienia od umowy,
c) wystawienia faktury VAT lub innego paragonu.
2. Zbieramy, przetwarzamy i przechowujemy następujące dane użytkowników:
a) imię i nazwisko,
b) adres zamieszkania,
c) adres do doręczeń (jeśli jest inny niż adres zamieszkania),
d) numer identyfikacji podatkowej (NIP),
e) adres poczty elektronicznej (e-mail),
f) numer telefonu (komórkowy, stacjonarny),
g) rodzaj szkoleń i stopień zaawansowania
h) informacje co do przedmiotu szkoleń
i) informacje o używanej przeglądarce internetowej,
j) inne dobrowolnie przekazane nam dane osobowe.
3. Podanie powyższych danych przez jest całkowicie dobrowolne ale także i niezbędne do pełnej realizacji usług.
4. Możemy przesyłać dane osobowe do serwerów znajdujących się poza krajem zamieszkania użytkownika lub do podmiotów powiązanych, stron trzecich z siedzibą w innych krajach w tym krajach z obszaru EOG (Europejski Obszar Gospodarczy, EOG ang. European Economic Area, EEA – strefa wolnego handlu i Wspólny Rynek, obejmujące państwa Unii Europejskiej i Europejskiego Stowarzyszenia Wolnego Handlu EFTA) w celu przetwarzania danych osobowych przez takie podmioty w naszym imieniu zgodnie z postanowieniami niniejszej Polityki prywatności oraz obowiązującymi przepisami prawa, zwyczajami jak i regulacjami dotyczącymi ochrony danych.
5. Mając na uwadze okoliczności, że w wielu krajach, do których są przesyłane niniejsze dane osobowe nie obowiązuje taki sam poziom ochrony prawnej danych osobowych, jaki obowiązuje w kraju użytkownika. Do danych osobowych użytkownika przechowywanych w innym kraju dostęp zgodnie z prawem tam obowiązującym, dostęp mogą uzyskać na przykład: sądy, organy odpowiedzialne za egzekwowanie prawa i bezpieczeństwo narodowe, zgodnie z przepisami obowiązującymi w tym kraju. Z zastrzeżeniem zgodnych z prawem próśb o ujawnienie danych, zobowiązujemy się wymagać od podmiotów przetwarzających dane osobowe poza krajem użytkownika podjęcia działań w celu ochrony danych w adekwatny sposób do regulacji ich prawa krajowego.
1. Zbieramy w sposób automatyczny informacje zawarte w plikach cookies w celu gromadzenia danych Użytkownika. Plik Cookies to mały fragment tekstu, który jest wysyłany do przeglądarki Użytkownika i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę. Używane są głównie do utrzymywania sesji np. poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu. Wykorzystujemy pliki Cookies „sesyjne” przechowywane na urządzeniu końcowym Użytkownika do czasu jego wylogowania, wyłączenia strony internetowej lub wyłączenia przeglądarki internetowej oraz pliki Cookies „stałe” przechowywane na urządzeniu końcowym Użytkownika przez czas określony w parametrach plików Cookies lub do czasu ich usunięcia przez Użytkownika.
2. Pliki Cookies dostosowują i optymalizują stronę i jej ofertę dla potrzeb Użytkowników poprzez takie działania jak tworzenie statystyk odsłon oraz zapewnienie bezpieczeństwa. Pliki Cookies niezbędne są również do utrzymania sesji po opuszczeniu strony internetowej.
3. Administrator przetwarza dane zawarte w plikach Cookies za każdym razem gdy strona jest odwiedzana przez odwiedzających w następujących celach:
a) optymalizacji korzystania ze strony;
b) identyfikacji Usługobiorców jako w danej chwili zalogowanych;
c) przystosowania, grafiki, opcji wyboru oraz wszelkiej innej zawartości strony do indywidualnych preferencji Usługobiorcy;
d) zapamiętywania uzupełnianych w sposób automatyczny i manualny, zamieszczanych danych z Formularzy Zamówienia lub podanych przez odwiedzającego danych logowania;
e) gromadzenia i analizowania anonimowych statystyk przedstawiających sposób korzystania ze strony w panelu administracyjnym oraz google analytics
f) tworzenia list remarketingowych na podstawie informacji o preferencjach, zachowaniu, sposobie korzystania zainteresowaniach ze Strony oraz zbierania danych demograficznych, a następnie udostępnianie tych list w AdWords oraz Facebook Ads.
g) tworzenia segmentów danych na podstawie informacji demograficznych, zainteresowań, upodobań w wyborze oglądanych produktów/usług.
h) wykorzystywania danych demograficznych i danych o zainteresowaniach w raportach Analytics.
4. Użytkownik w każdej chwili za pomocą swojej przeglądarki internetowej może całkowicie zablokować i skasować gromadzenie plików Cookies.
5. Zablokowanie przez Użytkownika możliwości gromadzenia plików Cookies na jego urządzeniu może utrudnić lub uniemożliwić korzystanie z niektórych funkcjonalności strony do czego Użytkownik jest w pełni uprawniony ale musi w takiej sytuacji mieć świadomość z ograniczeń funkcjonalności.
6. Użytkownik, który nie chce wykorzystywania plików „cookies” w opisanym powyżej celu w każdej chwili może usunąć je ręcznie. Do zapoznania się ze szczegółową instrukcją postępowania należy odwiedzić stronę internetową producenta używanej przeglądarki internetowej z której aktualnie korzysta Użytkownik.
1. Mamy prawo a w przypadkach prawem określonych także i ustawowy obowiązek do przekazania wybranych bądź wszystkich informacji dotyczących danych osobowych organom władzy publicznej bądź osobom trzecim, które zgłoszą takie żądanie udzielenia informacji na podstawie obowiązujących przepisów prawa polskiego.
2. Użytkownik ma prawo dostępu do treści swoich danych osobowych, które udostępnia, Użytkownik może te dane poprawiać, uzupełniać w każdym czasie, a także ma prawo do żądania aby je usunięto ze swoich baz danych bądź zaprzestano je przetwarzać, bez podawania jakiekolwiek przyczyny. W celu realizacji swoich praw Użytkownik może w każdym czasie przesłać stosowaną wiadomość na adres poczty elektronicznej bądź w inny sposób, który dostarczy/przekaże takie żądanie.
3. Zobowiązujemy się postępować zgodnie z obowiązującymi przepisami prawa i zasadami współżycia społecznego.
4. Informacja o pozasądowym rozpatrywaniu sporów konsumenckich. Podmiotem uprawnionym w rozumieniu ustawy o pozasądowym rozpatrywaniu sporów konsumenckich jest Rzecznik Finansowy, którego adres strony internetowej jest następujący: www.rf.gov.pl.
1. Dane dostępowe do usług oferowanych w sieci Internet to – np. loginy, hasła, PIN, certyfikaty elektroniczne itp., – powinny być zabezpieczone w miejscu niedostępnym dla innych i niemożliwym do włamania z poziomu sieci internetowej. Nie należy ich ujawniać lub przechowywać na urządzeniu w formie, która umożliwia nieautoryzowany dostęp i odczyt przez osoby do tego nieuprawnione.
2. Ostrożność podczas otwierania dziwnych załączników lub klikania odnośników w wiadomościach mailowych, których się nie spodziewaliśmy np. od nieznanych nadawców, bądź z folderu spam.
3. Zaleca się uruchomienie w przeglądarce internetowej filtrów antyphishingowych czyli narzędzi, które sprawdzają, czy wyświetlona strona internetowa jest autentyczna i nie służy wyłudzaniu informacji, np. poprzez podszywanie się pod osobę lub instytucję.
4. Pliki powinny być pobierane tylko i wyłącznie z zaufanych miejsc, serwisów i stron. Nie zalecamy instalowania oprogramowania z niezweryfikowanych źródeł zwłaszcza od nieznanych wydawców o niesprawdzonej opinii. Dotyczy to również urządzeń przenośnych, np. smartfonów, tabletów.
5. Podczas używania domowej sieci bezprzewodowej Wi-Fi należy ustalić takie hasło aby było bezpieczne i trudne do złamania, nie powinno być nim żaden wzór i ciąg znaków który jest łatwy do odgadnięcia (np. nazwa ulicy, imię gospodarza, data urodzin itp.). Rekomenduje się także korzystanie najwyższych możliwych standardów szyfrowania sieci bezprzewodowych Wi-Fi, które są możliwe do uruchomienia na posiadanym sprzęcie np. WPA2.
1. Wtyczki tak zwane plug-ins portali społecznościowych facebook.com i Twitter oraz innych, mogą znajdować się na naszych stronach. Związane z nimi usługi dostarczane są odpowiednio przez firmy Facebook Inc. i Twitter Inc.
2. Facebook obsługiwany jest przez Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA Facebook. Aby zobaczyć wtyczki Facebook przejdź do: https://developers.facebook.com/docs/plugins
3. Twitter obsługiwany jest Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Aby zobaczyć wtyczki Twittera przejdź do: https://dev.twitter.com/web/tweet-button
4. Wtyczka przekazuje jej dostawcy jedynie informację o tym, do których z naszych stron internetowych miałeś dostęp i w jakim czasie. Jeśli podczas oglądania naszej strony bądź przebywania na niej, użytkownik jest zalogowany do swojego konta znajdującego się np. na Facebooku lub Twitterze, dostawca jest w stanie łączyć Twoje zainteresowania, preferencję informacyjne, oraz inne dane, pozyskane np. poprzez kliknięcie przycisku Lubię to czy pozostawienie komentarza, bądź wpisanie nazwy profilu w wyszukiwanych. Taka informacja również zostanie przekazana przez przeglądarkę bezpośrednio do dostawcy.
5. Więcej bardziej szczegółowych informacji na temat gromadzenia i wykorzystywania danych przez Facebook lub Twitter i na temat ochrony prywatności można znaleźć na poniższych stronach:
a) Ochrona danych/porady dot. prywatności wydane przez Facebook: http://www.facebook.com/policy.php
b) Ochrona danych/porady dot. prywatności wydane przez Twitter: https://twitter.com/privacy
6. Aby uniknąć odnotowania wizyty na wybranym koncie użytkownika przez Facebook lub Twitter na naszej stronie internetowej musisz wylogować się ze swojego konta przed rozpoczęciem przeglądania naszych stron internetowych.
Właścicielem wszystkich materialnych praw autorskich do wzorca niniejszej polityki jest Kancelaria Prawna LEGATO, która udzieliła niewyłącznego i niezbywalnego prawa do wykorzystywania tego dokumentu do celów związanych z własną działalnością handlową w Internecie oraz rozciąga ochronę prawną na w/w dokument na czas trwania umowy. Kopiowanie oraz rozpowszechnianie wzorca niniejszego dokumentu bez zgody Kancelarii Prawnej LEGATO jest zabronione i może podlegać odpowiedzialności zarówno karnej jak i cywilnej. Sprzedawcy internetowi mogą dowiedzieć się więcej o możliwości korzystania z wzorca polityki prywatności i cookies na stronie http://www.kancelaria-legato.pl
Mając na uwadze konstytucyjne prawa każdego obywatela Rzeczypospolitej Polskiej: KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (ART. 47, 51):
(art. 47.)
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
(art. 51.)
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.), oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE., administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Biorąc pod uwagę te konstytucyjne i ustawowe obowiązki wprowadzamy następujący zestaw procedur i rozwiązań, stanowiący Politykę bezpieczeństwa przetwarzania danych osobowych.
Ilekroć w Polityce jest mowa o:
1) ustawie – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.)
2) danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
3) zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
8) administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
9) zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
10) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
11) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego (ang. European Economic Area, EEA) – strefa wolnego handlu i Wspólny Rynek.
12) obszarze przetwarzania danych – zgodnie z ustawą, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno te miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje), jak również te, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco).
13) wykazie zbiorów – należy przez to rozumieć wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
14) opisie struktury zbiorów – należy przez to rozumieć opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
15) opis struktury zbiorów – danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
16) opisie przepływu danych – należy przez to rozumieć opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi;
17) środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
2. Administrator danych zobowiązany jest do podjęcia i wdrożenia następujących działań aby zapewnić pełną i całkowitą, niezbędną ochronę przetwarzanych zbiorów osobowych:
1) wdrożyć niniejszą Politykę bezpieczeństwa przetwarzania danych osobowych oraz Instrukcję zarządzania systemem informatycznym przetwarzającym dane osobowe;
2) upoważniać i cofać upoważnienia do przetwarzania danych osobowych osobom, które mają te dane przetwarzać, mają z nich korzystać na podstawie upoważnienia do przetwarzania danych osobowych w systemie informatycznym lub w zbiorze (załącznik nr 1);
3) prowadzić jasny i rzetelny wykaz osób upoważnionych do przetwarzania danych osobowych, dbać by osoby upoważnione kierowały się najwyższymi standardami ochrony prywatności, dbać by wykaz był aktualny i zawsze zgodny z prawdą (załącznik nr 2);
4) prowadzić wykaz obszarów przetwarzania danych osobowych (załącznik nr 3);
5) prowadzić wykaz zbiorów danych osobowych (załącznik nr 4);
6) prowadzić opis struktury zbiorów (załącznik nr 5);
7) prowadzić opis sposobu przepływu danych osobowych pomiędzy programami, środkami zarządzającymi tymi danymi (załącznik nr 6);
3. W celu ochrony danych spełniono następujące wymogi:
a) Administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji;
b) Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych;
c) Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
d) Została opracowana i wdrożona Polityka bezpieczeństwa;
e) Została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym.
§ 4. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:
a) Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej metalowej szafie.
b) Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
c) Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
§ 5. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
a) Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową.
b) Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
c) Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
d) Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
e) Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
f) Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
g) Użyto system Firewall do ochrony dostępu do sieci komputerowej.
§ 6. Środki ochrony w ramach narzędzi programowych i baz danych:
a) Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
b) Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
c) Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
d) Zastosowano kryptograficzne środki ochrony danych osobowych.
e) Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
f) Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
§ 7. Środki organizacyjne:
a) Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
b) Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie
zabezpieczeń systemu informatycznego.
c) Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
d) Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
e) Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
Polityka bezpieczeństwa jest bezwzględnie przestrzegana przez osoby upoważnione do przetwarzania danych osobowych, a nad jej przestrzeganiem czuwa administrator danych osobowych. Osoby upoważnione zostały w sposób prawidłowy i wyczerpujący poinformowane o prawach i obowiązkach na nich ciążących ze szczególnym uwzględnieniem prywatności osób, których dane te dotyczą a która jest zagwarantowana przez Konstytucję, przepisy prawa i niniejszą Politykę Bezpieczeństwa.
9. Administrator danych może w drodze umowy zawartej na piśmie tj. umowy o powierzeniu przetwarzania danych osobowych, powierzyć przetwarzanie danych innemu podmiotowi, który również zobowiązuje się do należytej i prawidłowej ochrony danych i prywatności osób, które zbiory te dotyczą. Podmiot ten może przetwarzać dane i informacje wyłącznie w zakresie niezbędnym dla realizacji swoich usług (na jakie zostały mu powierzone dane osobowe), przewidzianym w umowie oraz jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. Odpowiedzialność podmiotu, o którym mowa wyżej jest taka sama jak administratora danych w zakresie powierzonych mu obowiązków. Za nieprzestrzeganie przepisów oraz polityki, odpowiedzialność ciąży na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę o powierzeniu przetwarzania danych osobowych, za przetwarzanie danych niezgodnie z tą umową, w sposób wadliwy i niezapewniający należytej ochrony w myśl Konstytucja Rzeczypospolitej Polskiej i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.) oraz innych przepisów prawa..
10. Polityka bezpieczeństwa wchodzi w życie z dniem zatwierdzenia jej przez administratora danych.
Niniejszy Regulamin pomaga w ujednoliceniu i wdrożeniu najistotniejszych zapisów zawartych w dokumentacji ochrony danych osobowych, a które są jednocześnie wymagane prawem. Obowiązuje on pracowników etatowych oraz współpracowników, posiadających ważne upoważnienia do przetwarzania danych osobowych nadane przez administratora danych. Regulamin został utworzony w związku z wymaganiami zawartymi w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.), oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) w związku z art. 68 i 69 ust.1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jednolity: Dz.U.2013, poz. 885).
Administrator danych pełniący równocześnie funkcję administratora systemu informatycznego nadaje wszelkie upoważnienia dostępu do systemu.
2. Każdy zanim zostanie uprawniony do przetwarzania danych osobowych musi:
a) zapoznać się z niniejszym Regulaminem,
b) odbyć niezbędne szkolenie,
c) podpisać oświadczenie o poufności i być świadomym obowiązków z tym związanych.
3. Upoważnienie nadawane jest do przetwarzania danych osobowych w wersji papierowej.
4. W przypadku gdy upoważnienie udzielane jest do zbioru w systemie informatycznym, administrator tego systemu nadaje osobie indywidualny i unikalny identyfikator w systemie.
5. W przypadku odebrania upoważnienia do przetwarzania danych osobowych z jakiejkolwiek przyczyny, uprawnienia przydzielone w systemie informatycznym danej osoby są blokowane.
6. Administrator systemu odpowiada osobiście za rejestrowanie przydzielonych uprawnień w systemie informatycznym i zobowiązany jest do pilnowania i nadzorowania ich zgodności ze stanem rzeczywistym.
Hasło dostępu do systemu informatycznego składa się z co najmniej 8 znaków (dużych i małych liter oraz z cyfr lub znaków specjalnych).
2. Zmiana hasła dostępowego do systemu informatycznego następuje nie rzadziej niż co 30 dni oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione.
3. Użytkownik systemu w trakcie pracy w aplikacji jeśli zajdzie taka potrzeba może zmienić swoje hasło.
4. Zmiana hasła dokonywana jest przez użytkownika automatycznie.
5. Hasła nie mogą być powszechnie używanymi słowami, w szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów.
6. Użytkownik zobowiązuje się do zachowania hasła w poufności, nawet po utracie przez nie ważności, w szczególności zabronione jest zapisywanie haseł w sposób jawny w miejscach nieprzeznaczonych do tego oraz przekazywanie ich innym osobom.
1.Sprzęt informatyczny składa się z komputerów stacjonarnych, sieciowego sprzętu drukującego oraz stacji serwerowych.
2. Osoba korzystająca z systemu informatycznego:
a) ma obowiązek używania sprzętu w sposób: zgodny z jego przeznaczeniem, w sposób zgodny z załączoną do niego instrukcją obsługi oraz do ochrony sprzętu przed zniszczeniem, utratą lub uszkodzeniem,
b) jest zobowiązana do niezwłocznego informowania administratora tego systemu o każdej sytuacji zniszczenia, utraty lub uszkodzenia powierzonego sprzętu,
c) nie może instalować i korzystać samowolnie z żadnego oprogramowania w systemie informatycznym, którego nie zaaprobował wcześniej ASI, ani próbować złamać lub uzyskać uprawnień administracyjnych w tym systemie, zabrania się również zgrywania na dysk twardy komputera oraz uruchamiania jakichkolwiek programów nielegalnych oraz plików pobranych z niewiadomego źródła (nielegalne źródło pochodzenia). Pliki takie powinny być ściągane tylko za każdorazową zgodą Administratora Danych Osobowych i tylko w uzasadnionych przypadkach, pod warunkiem, że nie doprowadzi to do złamania prawa.
d) nie może samowolnie ingerować, przenosić, otwierać (demontować) sprzętu, instalować dodatkowych urządzeń (np. twardych dysków, pamięci) lub podłączać jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego (w tym prywatnych urządzeń, nawet jedynie w celu ładowania baterii tych urządzeń).
Polityka czystego ekranu, tj. podjęcie wszelkich działań aby osoby nieupoważnione nie miały wglądu w treści wyświetlane na monitorach ekranowych lub ekranach komputerów przenośnych na których są przechowywane dane Klientów.
2. Osoba uprawniona do korzystania z systemu informatycznego przy każdym odejściu od stanowiska pracy jest zobowiązana do manualnego uruchamiania wygaszacza ekranu chronionego hasłem również w sytuacji gdy pozostawia system informatyczny bez nadzoru nawet na chwilę.
3. Zrzutów ekranów z systemu informatycznego gdzie są wyświetlane dane, jak i wysyłanie takich informacji poza organizację bez zgody administratora tego systemu jest zabronione.
4. Każdy kto jest uprawniony do korzystania z systemu informatycznego jest zobowiązany do:
a) ustawiania monitorów i ekranów komputerów przenośnych w taki sposób, by nie można było podejrzeć wyświetlanych na nich treści zarówno względem okien jak i drzwi wejściowych do pomieszczeń w których się znajdują,
b) zapewnienia w sytuacji uruchamiania komputerów przenośnych poza obszarem przetwarzania np. lotniska, dworce, sale konferencyjne i w każdym innym miejscu publicznym, dyskrecji i ochrony wyświetlanych tam danych,
c) nadzorowania osób nieupoważnionych pozostających w obszarze przetwarzania danych.
1. Polityka czystego biurka, tj. dbanie aby po zakończonej pracy wszelkie dokumenty na których znajdują się dane osób znajdowały się poza zasięgiem nieuprawnianego wzroku i dłoni.
2. Jeżeli pomieszczenie jest zaopatrzone w meble bądź szafkę zamykaną na klucz, to należy zamykać szafy przed zakończeniem pracy, wcześniej umieszczając w nich wszystkie wrażliwe dane i dokumenty, a klucze umieszczać w bezpiecznym miejscu aby osoby nieuprawnione nie miały do nich dostępu.
3. Każdy kto ostatni upuszcza miejsce przetwarzania danych powinien sprawdzić, czy wszystkie okna są zamknięte oraz czy wszelkie inne zabezpieczenia są uruchomione np. system alarmowy. Należy go uzbroić, drzwi należy zamknąć oraz uruchomić wszelkie inne systemy bezpieczeństwa.
4. Zabrania się pozostawiania dokumentów i wydruków zawierających dane osobowe w miejscach gdzie znajdują się urządzenia typu drukarki, kserokopiarki, skanery, bez nadzoru. Wszelkie dokumenty błędnie wydrukowane lub które przeznaczone są do wyrzucenia, należy niezwłocznie niszczyć z wykorzystaniem niszczarek lub pojemników do utylizacji dokumentacji poufnej.
5. Jeśli jest to konieczne i dochodzi do sytuacji przewozu dokumentów w wersji papierowej danych osobowych poza obszar ich przetwarzania, musi odbywać się to w sposób zapewniający ich poufność, tj. dokumenty muszą być zakryte i zabezpieczone przed przypadkową utratą i wglądem dla osób do tego nieuprawnionych.
1.Osoba przetwarzająca dane osobowe, gdy przekazuje dane drogą telefoniczną musi mieć pewność co do tożsamości swojego rozmówcy, w razie wątpliwości co do tożsamości należy zawiadomić administratora o problemie w ustaleniu tożsamości rozmówcy. Jeżeli ustne przekazanie danych nie gwarantuje poufności, należy skorzystać z udostępnienia w wersji pisemnej (do wglądu).
2. Dane osobowe można udostępnić tylko osobie, której dane dotyczą, lub innej osobie za jej zgodą przechowywaną w celach dowodowych przy zachowaniu procedury przewidzianej w punkcie powyższym.
3. Udostępniając dane osobowe poza siedzibą, gdzie nie mogą one być należycie chronione (np. w miejscach publicznie dostępnych), należy zagwarantować maksymalną poufność tych danych.
4. Ryzyko ujawnienia osobom nieuprawnionym danych osobowych lub innych informacji o stosowanych zabezpieczeniach należy niwelować przez podejmowanie różnych adekwatnych do tego celu środków. Sytuacje ryzykowne to takie jak:
a) żądanie danych o zastosowanych zabezpieczeniach przez osoby podszywające się (kradzież tożsamości),
b) żądanie udostępnienia informacji o poprzednio stosowanych hasłach dostępowych do systemów informatycznych (socjotechnika telefoniczna),
c) wszelkie inne podejrzane żądania udostępnienia niejawnych informacji, w szczególności drogą telefoniczną.
1.Każdy kto przetwarza dane jest zobowiązany do korzystania z Internetu tylko w celu niezbędnym dla realizacji funkcji, które powierza mu administrator. Jest kategoryczny zakaz odwiedzania podczas pracy stron internetowych w celach prywatnych.
2. Przy korzystaniu z Internetu osoby przetwarzające dane mają obowiązek przestrzegać prawa, a zwłaszcza przestrzegać własności przemysłowej i praw autorskich.
3. Osoby przetwarzające dane mają kategoryczny zakaz korzystać z Internetu w celu przeglądania treści o charakterze niezwiązanym z ich funkcją, pracą a zwłaszcza o treści obraźliwej, niemoralnej lub niestosownej wobec powszechnie obowiązujących zasad postępowania, a także grać w gry komputerowe w Internecie lub w systemie informatycznym, oglądać filmy, lub korzystać z innej szeroko pojętej rozrywki.
4. W zakresie dozwolonym przepisami prawa administrator danych zastrzega sobie prawo do wglądu i kontrolowania sposobu korzystania przez osoby przetwarzające dane z Internetu, pod kątem wyżej opisanych zasad.
1.Poczta elektroniczna jest przeznaczona i może być wykorzystywana wyłącznie do wykonywania obowiązków na zajmowanym stanowisku, każde inne wykorzystanie jest niedozwolone i może być przyczyną do pociągnięcia do odpowiedzialności.
2. Przy korzystaniu z poczty elektronicznej osoby przetwarzające dane mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.
3. Osoby przetwarzające dane powinny zachować szczególną uwagę, by przez nieuwagę nie wysłać za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej wiadomości zawierających informacji określanych jako poufne osobom nieuprawnionym, dotyczące np. administratora danych, jego pracowników, klientów, dostawców lub kontrahentów.
4. Osoby przetwarzające dane powinny wykazać szczególną rozwagę i nie powinny otwierać wiadomości przesłanych drogą elektroniczną od nieznanych sobie nadawców, gdy tytuł nie sugeruje związku z wypełnianymi przez nie obowiązkami na zajmowanym stanowisku powinny takie wiadomości zgłosić administratorowi i wykasować ze swojej skrzynki pocztowej.
5. W przypadku przesyłania plików drogą elektroniczną, zawierających dane osobowe do podmiotów zewnętrznych, które są do tego uprawnione, osoba przetwarzająca dane zobowiązana jest do ich spakowania i opatrzenia hasłem. Hasło należy przesłać odrębnym środkiem komunikacji tak aby w razie błędnego wysłania bądź nieautoryzowanego przejęcia nie doszło do ryzyka otwarcia pliku z danymi.
Elektroniczne nośniki danych to np. wymienne twarde dyski, pen-drive, płyty CD, DVD, pamięci typu Flash.
2. Osoby przetwarzające dane nie mogą wynosić poza obszar przetwarzania wymiennych elektronicznych nośników zarówno prywatnych jak i udostępnionych w przypadku przegrania na nie informacji z danymi osobowymi bez zgody administratora danych i bez jego wiedzy w każdorazowym przypadku.
3. W przypadku uszkodzenia, zużycia lub zaprzestania korzystania z danego nośnika zawierającego dane osobowe należy fizycznie go zniszczyć przez spalenie lub rozdrobnienie tak aby zawarte na nich informacje nie mogły być ponownie odczytane bądź wykorzystane.
1. Osoba przetwarzająca dane zobowiązana jest do powiadomienia administratora danych w przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych.
2. Administrator systemów informatycznych po stwierdzeniu naruszenia systemu informatycznego ma obowiązek, zabezpieczyć ślady pozwalające na określenie przyczyn naruszenia systemu informatycznego, przeanalizować i określić skutki naruszenia systemu informatycznego, określić czynniki, które spowodowały naruszenie systemu informatycznego, dokonać niezbędnych korekt w systemie informatycznym polegających na zabezpieczeniu systemu przed ponownym jego naruszeniem. Administrator podejmuje podobne środki w sytuacji gdy stwierdzi, że:
a) ślady na drzwiach, oknach i szafach wskazują na próbę włamania,
b) dokumentacja z danymi jest niszczona bez użycia niszczarki bądź nie niszczona wcale,
c) drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe, pozostają otwarte,
d) ustawienie monitorów nie zapewnia bezpieczeństwa przed wglądem osób nieupoważnionych,
e) ma miejsce nieautoryzowane kopiowanie i wynoszenie danych osobowych w wersji bądź to papierowej i/lub elektronicznej poza obszar przetwarzania bez zgody i poinformowania admina,
f) występują telefoniczne próby wyłudzenia danych osobowych bądź haseł dostępowych,
g) nastąpiła kradzież komputerów lub elektronicznych nośników danych,
h) pojawia się zagrożenie notyfikowane przez program antywirusowy,
i) hasła do systemów nie są należycie zabezpieczone bądź przechowywane są w pobliżu komputera.
1.Wszelkie przypadki nieuzasadnionego niedopełnienia wytycznych co do ochrony danych wynikających z niniejszego Regulaminu mogą zostać potraktowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych lub zobowiązań umownych, które nakładają na dana osobę przymus określonego zachowania się w danej sytuacji. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego podejrzenia takiego naruszenia nie podjęła działania określonego w niniejszym Regulaminie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, można wszcząć postępowanie dyscyplinarne co nie wyklucza pociągnięcia jej co do odpowiedzialności na podstawie odpowiednich przepisów prawa, za powstałą szkodę bądź ryzyko jej powstania.
2. Kara dyscyplinarna gdy zostanie zastosowana wobec osoby uchylającej się od powiadomienia administratora o niebezpieczeństwie, nie wyklucza pociągnięcia jej do dodatkowej odpowiedzialności karnej zgodnie w ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.), oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego o zrekompensowanie poniesionych strat.
Mając na uwadze konstytucyjne prawa każdego obywatela Rzeczypospolitej Polskiej KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (ART. 47, 51):
(art. 47.)
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
(art. 51.)
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.), oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE., administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Biorąc pod uwagę te konstytucyjne i ustawowe obowiązki ustanawiamy niniejszą Instrukcję zarządzania systemem informatycznym.
1. Ilekroć w Instrukcji jest mowa o:
1) ustawie – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, 1669, z 2019 r. poz. 730.)
2) danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
3) zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
8) administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych;
9) administratorze systemu – /ASI/– rozumie się przez to osobę zarządzającą systemem informatycznym w którym przetwarzane są dane osobowe,
10) użytkowniku systemu – rozumie się przez to osobę upoważnioną przez administratora danych do przetwarzania danych osobowych, której nadano indywidualny identyfikator i przyznano hasło;
11) elektronicznym nośniku – rozumie się przez to elektroniczne urządzenie, na którym przechowuje się dane osobowe w celu jego ponownego odtworzenia w systemie informatycznym;
12) zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie;
13) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;
14) państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego (ang. European Economic Area, EEA) – strefa wolnego handlu i Wspólny Rynek.
15) obszarze przetwarzania danych – zgodnie z ustawą, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno te miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje), jak również te, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Zgodnie z treścią § 4 punkt 1 rozporządzenia miejsce przetwarzania danych osobowych powinno być określone poprzez wskazanie budynków, pomieszczeń lub części pomieszczeń, w których przetwarza się dane osobowe.
16) wykazie zbiorów – należy przez to rozumieć wykaz zbiorów danych osobowych wraz ze
wskazaniem programów zastosowanych do przetwarzania tych danych;
17) opisie struktury zbiorów – należy przez to rozumieć opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
18) opis struktury zbiorów – danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
19) opisie przepływu danych – należy przez to rozumieć opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi;
20) środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
2. Uwzględniając kategorie przetwarzanych danych oraz występujące zagrożenia bezpieczeństwa przetwarzania tych danych osobowych w systemie informatycznym, mając na uwadze także wszystkie odpowiednie środki do realizacji postawionych sobie celów ochrony danych osobowych, zastosowano poziom bezpieczeństwa wysoki. Procedura opisuje zasady: przyznawania, modyfikacji i usuwania uprawnień użytkownika do przetwarzania zbiorów w systemie informatycznym lub w wersji papierowej. Celem procedury jest uniknięcie nieuprawnionej ingerencji osób trzecich i minimalizacja ryzyka nieuprawnionego kopiowania, usuwania bądź zmiany danych osobowych i utraty poufności tych danych.
§ 3. Osobą odpowiedzialną za nadawanie i cofanie bądź zmianę uprawnień w systemie informatycznym jest administrator danych. Przyznanie, anulowanie bądź zmiana upoważnienia do przetwarzania danych osobowych w systemie informatycznym lub w zbiorze papierowym wraz z uprawnieniami do przetwarzania tych danych realizowana jest na pisemne zlecenie Administratora Danych Osobowych.
§ 4. Procedura nadawania, modyfikowania i odbierania uprawnień przez administratora bezpieczeństwa danych użytkownikowi w systemie informatycznym obejmuje w kolejności następujące zadania:
1) zapoznanie osoby uprawnionej przed przystąpieniem do zadań z przepisami dotyczącymi ochrony danych osobowych w regulacjach prawnych oraz z procedurami bezpieczeństwa systemu informatycznego określonego niniejszą instrukcją;
2) sprawdzenia czy dana osoba odbyła szkolenie z zakresu przestrzegania zasad bezpieczeństwa danych osobowych i czy wiedza uzyskana z danego szkolenia jest aktualna;
3) sprawdzenia czy dana osoba podpisała oświadczenie o zachowaniu poufności co do danych, które będą jej powierzone i przestrzega wewnętrznej dokumentacji ochrony danych osobowych;
4) sprawdzenia czy dana osoba będzie przetwarzać dane osobowe w zakresie i celu określonym w polityce bezpieczeństwa i instrukcji zarządzania i ewentualnie w Regulaminie ODO;
5) zwrócenie się z wnioskiem do administratora systemu o przyznanie osobie uprawnionej, uprawnień w systemie informatycznym w niezbędnym zakresie do realizacji powierzonych jej funkcji;
6) nadanie i cofanie uprawnienia w systemie informatycznym w niezbędnym zakresie do wykonywania powierzonych funkcji, po wcześniejszym dokładnym zweryfikowaniu przez administratora systemu treści upoważnienia do przetwarzania danych osobowych w celu wyeliminowania ewentualnych błędów w zakresie przyznanych uprawnień lub naruszenia innej podstawy prawnej pozwalającej na przydzielenie tych uprawnień;
7) modyfikacja i odbieranie uprawnień użytkownika w systemie informatycznym celem zagwarantowania najwyższych standardów ochrony danych osobowych.
§ 5. Procedurę rejestrowania uprawnień użytkownika w systemie informatycznym przeprowadza administrator tego systemu i obejmuje następujące działania:
1) przypisanie indywidualnego identyfikatora użytkownika w systemie informatycznym do konkretnej osoby wraz z datą przyznania i odebrania uprawnień, kontrola poprawności tych uprawnień;
2) przypisanie zakresu przydzielonych uprawnień w systemie informatycznym do konkretnego identyfikatora użytkownika. Identyfikator użytkownika po wyrejestrowaniu z systemu informatycznego nie może być przydzielany innej osobie, jest jednorazowy.
6. W zakresie uwierzytelniania użytkownika w systemie informatycznym zastosowano identyfikator i hasło. Dostęp do zbioru danych osobowych (do bazy danych i do programu) wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Ten podrozdział określa politykę haseł użytkownika przy dostępie do serwera lub sieci, jeśli dane osobowe (np. w Excelu, listy osób, dokumenty z danymi osobowymi) znajdują się bezpośrednio na serwerze lub na poszczególnych stacjach.
§ 7. Hasło zastosowane do uwierzytelnienia użytkownika w systemie informatycznym dla pełniejszej ochrony składa się z co najmniej 8 znaków, w tym musi zawierać co najmniej małe i duże litery oraz liczbę lub znak specjalny. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych. Hasło jest zmieniane w cyklach nie dłuższych niż 30 dni. Administrator zobowiązany jest do prowadzenia metryk haseł użytkownika. Metryka hasła powinna zawierać: treść hasła, datę jego wprowadzenia do systemu, datę i powód awaryjnego udostępnienia hasła oraz być przechowywana przez okres 5 lat.
§ 8. Zmiana hasła odbywa się cyklicznie, ale gdy zajdzie taka potrzeba w przypadku zwiększenia ryzyka odbywa się w częstszych okresach czasu, adekwatnych do zaistniałej sytuacji.
§ 9. Hasło zastosowane do uwierzytelnienia administratora systemu w systemie informatycznym składa się z co najmniej 10 znaków, w tym musi zawierać co najmniej dwie małe i duże litery oraz liczbę lub znak specjalny. Każdorazowe użycie konta administratora systemu jest odnotowywane w tym systemie w formie logów dostępowych. Hasło jest zmieniane w cyklach nie dłuższych niż 6 miesięcy. Administrator zobowiązany jest do prowadzenia metryk haseł administratora. Metryka hasła powinna zawierać: treść hasła, datę jego wprowadzenia do systemu, datę i powód awaryjnego udostępnienia hasła oraz być przechowywana przez okres 5 lat ponadto:
Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego
§ 10. Użytkownicy systemów informatycznych przed przystąpieniem do obowiązków są zapoznawani z zagrożeniami wynikającymi ze stosowania haseł o różnym poziomie skomplikowania/trudności jako formy ich uwierzytelniania w systemie informatycznym. W przypadku utraty uprawnień przez osobę administrującą systemem należy niezwłocznie zmienić hasła, do których miała dostęp.
11. Procedura opisuje szczegółowe zasady: przyznawania, modyfikacji i usuwania uprawnień użytkownika do przetwarzania zbiorów w systemie informatycznym lub w wersji papierowej. Celem procedury jest minimalizacja ryzyka nieuprawnionego dostępu do danych osobowych i utraty poufności przez osoby nieupoważnione. Przed rozpoczęciem pracy w systemie informatycznym uprawniony użytkownik weryfikuje bezpieczeństwo środowiska pracy pod względem treści wyświetlanych na ekranie i przebywanie w ich bezpośrednim sąsiedztwie osób nieupoważnionych a w szczególności:
1. Użytkownik rozpoczyna pracę z systemem informatycznym przetwarzającym dane osobowe dopiero po wpisaniu indywidualnego identyfikatora i hasła dostępowego.
2. Użytkownik jest zobowiązany do powiadomienia ADO o każdej zaobserwowanej próbie logowania się do systemu osoby nieupoważnionej, jeśli system to sygnalizuje.
3. W przypadku, gdy użytkownik podczas próby zalogowania się zablokuje system, zobowiązany jest powiadomić o tym ADO, który odpowiada za odblokowanie systemu użytkownikowi.
4. Po zakończeniu pracy, użytkownik zobowiązany jest wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy, zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację
§ 12. W każdym wypadku zawieszenia pracy lub przerwy w jej wykonywaniu przez pracownika, osobę uprawnioną, użytkownika w systemie informatycznym i odejściem od punktu systemu informatycznego w/w osoba zobowiązana jest wywołać blokowany hasłem wygaszacz ekranu lub wylogować się z systemu. Jeżeli tego nie uczyni – po upływie 5 minut system automatycznie aktywuje wygaszacz tzw. Polityka czystego ekranu.
§ 13. Osoba uprawniona po zakończeniu pracy zobowiązana jest do zamykania systemu informatycznego poprzez wylogowanie się z niego, a następnie wyłączyć sprzęt komputerowy, zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację.
14. Kopie zapasowe danych są tworzone w cyklach: kopia całościowa raz na tydzień.
15. Kopie powyższe są wykonywane metodą nadpisywania na nośniku danych innym niż ten na którym znajduje się baza danych oraz przechowywany jest w pomieszczeniu odrębnym niż zbiór danych głównych.
16. W przypadku zużycia lub uszkodzenia elektronicznego nośnika zawierającego kopie zapasowe, należy ten uszkodzony nośnik zutylizować w sposób uniemożliwiający odczytanie danych na nim zawartych.
17. W systemie informatycznym zostało zainstalowane automatycznie aktualizujące się oprogramowanie antywirusowe.
18. Na styku sieci wewnętrznej z siecią publiczną zastosowano zaporę ogniową: programową – zapora systemowa Microsoft Windows.
19. Użytkownicy systemu niezwłocznie informują administratora systemu o zagrożeniach monitowanych przez oprogramowanie antywirusowe, np. w postaci ujawnionego podejrzanego oprogramowania, cudzej ingerencji w bazę danych.
20. Administrator danych udostępnia dane odbiorcom danych samodzielnie tj. z pominięciem przyznawania dostępu odbiorcom danych do systemu informatycznego administratora danych.
§ 21. Administrator systemu informatycznego jest zobowiązany do okresowego przeglądania systemu informatycznego. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada ASI. Działania te podejmowane są w celu określania ich poziomu sprawności, bezpieczeństwa i użyteczności, biorąc pod uwagę racjonalne wykorzystanie sprzętu oraz zapewnienie bezpieczeństwa danych przetwarzanych z jego wykorzystaniem.
§ 22. Administrator systemu przeprowadza w/w przegląd nie rzadziej niż raz na 5 lat. ASI odpowiada za regularną aktualizację oprogramowania, zgodnie z zaleceniami określonymi przez producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji.
§ 23. W przypadku zaistnienia potrzeby dokonania naprawy bądź ulepszenia elementu infrastruktury systemu informatycznego przez osobę nieupoważnioną, wszelkie czynności, które mają być dokonywane są pod bezpośrednim nadzorem osób upoważnionych przez ASI. Wszelkie prace konserwacyjne i naprawcze sprzętu komputerowego oraz uaktualnienia systemu informatycznego, wykonywane przez podmiot zewnętrzny, powinny odbywać się na zasadach określonych w szczegółowej umowie z uwzględnieniem klauzuli dotyczącej ochrony tych danych.
24. Wszelkie zasady i procedury opisane w niniejszej Instrukcji są wdrożone i przestrzegane przez uprawnionych użytkowników i administratorów systemów. Głównym wyznacznikiem wszystkich działań jest dobro osób, których dane te dotyczą.
25. Instrukcja obowiązuje od dnia jej zatwierdzenia przez administratora danych.