DarkCameo.pl

Instrukcja w sprawie ochrony danych osobowych

W celu zapewnienia ochrony przetwarzanych danych osobowych administrator danych osobowych, DarkCameo z siedzibą w Łazy 57, 32-765 Rzezawa, na podstawie art. 36 w zw. z art. 3 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 r. Nr 133 poz. 883) wprowadza poniższą instrukcję.

Ilekroć w instrukcji jest mowa o:

  1. administratorze danych - rozumie się przez to DarkCameo w Łazach

  2. zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

  3. przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

  4. systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

  5. zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

  6. usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

  7. zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

  8. osobie zatrudnionej przy przetwarzaniu danych osobowych - rozumie się pracownika administratora danych, który ma dostęp do zbiorów danych osobowych.

  9. reprezentancie - rozumie się przez to osobę uprawnioną do składania oświadczeń woli w imieniu administratora danych.

  10. administratorze bezpieczeństwa - rozumie się przez to administratora sieci.

Przepisy ogólne

§ 1

  1. Przetwarzanie danych osobowych do celów związanych z działalnością administratora danych jest zgodne z prawem w sytuacji, gdy dane te zostały uzyskane od osoby, której dotyczą i wyraziła ona na ich przetwarzanie zgodę.

  2. W sytuacji, gdy dane osobowe nie zostały uzyskane od osoby, której dotyczą, ich przetwarzanie jest zgodne z prawem, gdy przepis szczególny tak stanowi.

  3. Usunięcie danych nie wymaga zgody osoby, której dotyczą.

  4. Ocena niezbędności przetwarzania danych do wypełnienia usprawiedliwionych celów administratora danych powinna być dokonywana indywidualnie w każdej sytuacji - w razie wątpliwości należy kontaktować się z reprezentantem.

§ 2

  1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, w wypadkach przewidzianych ustawą należy poinformować tę osobę o:

    1. adresie swojej siedziby i pełnej nazwie,

    2. celu zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

    3. prawie wglądu do swoich danych oraz ich poprawiania,

    4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

  2. Powyższy obowiązek administrator danych nakłada na osoby zatrudnione przy przetwarzaniu danych osobowych.

§ 3

  1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

    1. adresie swojej siedziby i pełnej nazwie,

    2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,

    3. źródle danych,

    4. prawie wglądu do swoich danych oraz ich poprawiania,

    5. prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, jeżeli nawet przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą,

    6. prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

  2. Powyższy obowiązek administrator danych nakłada na osoby zatrudnione przy przetwarzaniu danych osobowych.

Udostępnianie danych ze zbioru

§ 4

  1. 1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach, a zwłaszcza wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących:

    1. jakie dane osobowe zawiera zbiór,

    2. w jaki sposób zebrano dane,

    3. w jakim celu i zakresie dane są przetwarzane,

    4. w jakim zakresie oraz komu dane zostały udostępnione.

  2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

§ 5

  1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

    1. uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,

    2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

    3. uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

    4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące,

    5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

    6. żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane

    7. prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, jeżeli nawet przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą,

    8. wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

    9. wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem zakazu ostatecznego rozstrzygnięcia indywidualnej sprawy, gdy treść była wyłącznie wynikiem operacji na danych osobowych prowadzonych w systemie informatycznym.

  2. Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa w ust. 1 pkt 1 - 5, nie częściej niż raz na 6 miesięcy.

§ 6

  1. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.

  2. Każda z osób zatrudnionych przy przetwarzaniu danych w razie powzięcia takiej wiadomości ma obowiązek o wystąpieniu osoby, której dane dotyczą, poinformować reprezentanta.

Przetwarzanie danych osobowych

§ 7

  1. Administrator danych jest obowiązany czuwać nad tym, aby dane osobowe były przetwarzane zgodnie z prawem, aby były one zbierane dla oznaczonych, zgodnych z prawem celów, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

  2. Odpowiedzialność za wykonywanie wynikających z ustawy obowiązków ponoszą reprezentanci.

§ 8

  1. Administrator danych prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych, stanowiącą załącznik do niniejszej instrukcji.

  2. Osoby te są obowiązane zachować uzyskane informacje w tajemnicy, co potwierdzają własnoręcznym podpisem pod instrukcją.

§ 9

Administrator Bezpieczeństwa jest odpowiedzialny za zabezpieczanie zbiorów danych osobowych poprzez przeciwdziałanie dostępowi do informatycznych baz danych osób nieupoważnionych, a w szczególności:

  1. nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkownika oraz kontroli dostępu do danych osobowych,

  2. podejmowanie odpowiednich działań w wypadku wykrycia naruszeń systemu.

Szczególne zasady bezpieczeństwa

§ 10

Dane osobowe, które są przedmiotem zainteresowania ustawy o ochronie danych osobowych, gromadzone i przechowywane są w serwerach.

§ 11

  1. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w osobnym pomieszczeniu.

  2. Klucze od pomieszczeń, w których wykonywane jest przetwarzanie danych osobowych, znajdują się w dyspozycji osób zatrudnionych przy przetwarzaniu danych.

  3. Nośniki informacji oraz wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia przechowuje się w warunkach uniemożliwiających dostęp do nich osobom trzecim.

  4. Elektroniczne bazy danych osobowych są archiwizowane.

  5. Kopie są wykonywane na nośnikach magnetycznych.

  6. Kopie są przechowywane w zabezpieczonym, zamykanym miejscu, niedostępnym dla osób postronnych.

  7. Wszystkie serwery i komputery biorące udział w przetwarzaniu danych osobowych są zabezpieczone przed niepowołanym dostępem.

  8. Wszystkie serwery i komputery są sprawdzane przy użyciu oprogramowania do wykrywania i usuwania wirusów komputerowych i innego szkodliwego oprogramowania.

  9. Pomieszczenie, w którym przetwarzane są dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy.

  10. Zbiór danych osobowych prowadzony jest przy użyciu komputera przenośnego.

  11. Uniemożliwiono użytkownikom systemu informatycznego, w którym przetwarzane są dane osobowe wykonywania kopii tych danych.

  12. Zastosowano urządzenie chroniące system informatyczny służący do przetwarzania danych osobowych przed awarią zasilania.

  13. Użyto system Firewall do ochrony dostępu do sieci komputerowej.

  14. Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.

§ 13

  1. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  2. W systemie operacyjnym zastosowano mechanizm wymuszający okresową zmianę haseł.

  3. Zastosowano system operacyjny pozwalający na określenie odpowiednich praw dostępu do zasobów informatycznych dla poszczególnych użytkowników systemu informatycznego.

  4. Zastosowano oprogramowanie zabezpieczające przed nieuprawnionym dostępem do systemu informatycznego.

  5. Zastosowano oprogramowanie umożliwiające wykonanie kopii zapasowych zbiorów danych osobowych.

§ 15

  1. Wykorzystano środki pozwalające na rejestrację dokonanych zmian w zbiorze danych osobowych.

  2. Zastosowano środki umożliwiające określenie praw dostępu do zbioru danych osobowych.

  3. Dostęp do zbioru danych osobowych zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  4. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych.

  5. Zastosowano mechanizm umożliwiający rejestrację identyfikatora użytkownika wprowadzającego dane osobowe.

§ 16

Przedsięwzięcia zastosowane w zakresie środków organizacyjnych:

  1. Dostęp do zbiorów danych osobowych znajdujących się na serwerach następuje po wprowadzeniu hasła, które znane jest tylko osobie przetwarzającej dane i tylko na podstawie upoważnienia Administratora.

  2. Ewidencja osób upoważnionych do przetwarzania danych stanowi załącznik do niniejszej Instrukcji.

  3. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.

  4. Każdorazowo po dokonaniu przetworzenia aplikacja powinna być zamknięta.

  5. W przypadku podejrzenia, iż wiadomości o sposobie dostępu do elektronicznej bazy danych uzyskała osoba do tego niepowołana, osoba przetwarzającej dane w porozumieniu z Administratorem Bezpieczeństwa powinna dokonać zmiany hasła.

  6. W pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób by uniemożliwić tym osobom wgląd w dane osobowe.

  7. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.

  8. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.

  9. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.

Odpowiedzialność za naruszenie instrukcji

§ 17

Osoba przetwarzająca dane, która stwierdziła niebezpieczeństwo naruszenia przepisów instrukcji i nie poinformowała o tym reprezentanta, w przypadku zaistnienia naruszenia ponosić będzie odpowiedzialność odszkodowawczą wobec pracodawcy.

§ 18

Przepis § 18 stosuje się odpowiednio do Administratora Bezpieczeństwa.

Zmiany instrukcji

§ 19

Wszelkie zmiany powyższej instrukcji wprowadzane przez administratora danych skuteczne są wobec wszystkich osób, których dotyczą, z chwilą ich doręczenia tym osobom na piśmie.

 


Strona głównaStrona główna

Koszyk  

(pusty)

Producenci