POLITYKA BEZPIECZEŃSTWA INFORMACJI

W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W

OSADA DZIKICH DZIECI
Natalia Gurin-Ostrowska
ul. Brzozowa 18, 80-174 Otomin

Administratorem danych osobowych przetwarzanych w OSADA DZIKICH DZIECI Natalia Gurin-Ostrowska jest Natalia Gurin-Ostrowska.

CEL

Celem Polityki Bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką Bezpieczeństwa”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania w OSADA DZIKICH DZIECI Natalia Gurin- Ostrowska informacji zawierających dane osobowe.

CO OPISUJE POLITYKA PRYWATNOŚCI?

Polityka bezpieczeństwa opisuje reguły dotyczące procedur zapewnienia bezpieczeństwa danych osobowych zawartych w systemach informatycznych w firmie OSADA DZIKICH DZIECI Natalia Gurin- Ostrowska. Dokument „Polityka bezpieczeństwa w zakresie ochrony danych osobowych” w OSADA DZIKICH DZIECI Natalia Gurin-Ostrowska – zwany dalej: „Polityką bezpieczeństwa”, został opracowany i wskazuje sposób postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych i jest w szczególności przeznaczony dla osób pracujących przy przetwarzaniu danych osobowych w OSADA DZIKICH DZIECI Natalia Gurin-Ostrowska.

ZAKRES STOSOWANIA

  1. W Organizacji przetwarzane są dane osobowe klientów zebrane w zbiorach danych osobowych.
  2. Informacje te są przetwarzane w postaci dokumentacji elektronicznej.
  3. Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

DEFINICJA BEZPIECZEŃSTWA INFORMACJI

Przez użyte w polityce bezpieczeństwa określenia należy rozumieć:

  1. administrator danych osobowych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
  2. inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO 
  3. ustawa – ustawa z dnia 18 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz.
    1000),
  4. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016
    r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/, 
  5. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,
  6. zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
  7. przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd., 
  8. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych, 
  9. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze, 
  10. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
  11. administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi.
  12. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
  13. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe
  14. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  15. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 

ZAKRES STOSOWANIA

  1. W Organizacji przetwarzane są dane osobowe klientów zebrane w zbiorach danych osobowych.
  2. Informacje te są przetwarzane w postaci dokumentacji elektronicznej.
  3. Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Politykę bezpieczeństwa stosuje się w szczególności do:

  1. danych osobowych przetwarzanych w systemie: Microsoft Office,
  2. wszystkich informacji dotyczących danych klientów, pracowników, kontrahentów,
  3. odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia : biuro rachunkowe,
  4. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Zbiór danychjednostka organizacyjnaProgram
Rejestr zbioru danychOsada Dzikich Dzieci N-G.OMicrosoft Office
Ewidencja – wykaz osób upoważnionych do przetwarzania danychOsada Dzikich Dzieci N-G.OMicrosoft Office

ZAKRES ODPOWIEDZIALNOŚCI

Administrator Danych osobowych jest odpowiedzialny za prawidłowy obieg dokumentacji.

Środki organizacyjne i techniczne zabezpieczenia danych osobowych

Zabezpieczenia organizacyjne:

  • opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych
  • sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji
  • stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych
  • opracowano i bieżąco prowadzi się rejestr czynności przetwarzania
  • wyznaczono administratora ochrony danych
  • do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną
  • osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego
  • osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy
  • przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych
  • przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych
  • dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści

Zabezpieczenia techniczne

  • stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową
  • komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła

Środki ochrony fizycznej

  • obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem
  • urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach
  • dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach.

Zadania administratora danych osobowych

Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy:

  1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
  2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
  3. przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
  4. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
  5. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  6. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  7. nadzór nad bezpieczeństwem danych osobowych,
  8. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowy

WYKAZ PODMIOTÓW ZEWNĘTRZNYCH, którym powierzono dane do przetwarzania

Wykaz firm /zleceniobiorców /wykonawców, z którymi realizacja umów/porozumień/zamówień zobowiązuje lub umożliwia dostęp do informacji zawierających dane osobowe

Biuro Rachunkowe OPTI-TAX Ewelina Kolaniak
Księga KPiR 24.08.2020R.

Postanowienia końcowe

  1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej będzie poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych
    i papierowych.
  2. Za przeprowadzenie szkolenia odpowiada Administrator danych osobowych.
  3. Zakres szkolenia obejmować będzie zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi
    u administratora danych osobowych,
  4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.