POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
Spis treści
Rozdział 1 – Postanowienia ogólne
Rozdział 4 –
Wykaz zbiorów danych osobowych
Rozdział 5 –
Wykaz budynków, pomieszczeń i stref do przetwarzania danych osobowych
Rozdział 7 –
Struktura zbiorów danych wskazujących zawartość poszczególnych pól
informacyjnych
Rozdział 9 –
Środki techniczne i organizacyjne zabezpieczenia danych osobowych
Rozdział 10
– Zadania administratora danych osobowych lub administratora bezpieczeństwa
informacji
Rozdział 11
– Zadania administratora systemu informatycznego
Rozdział 12
– Sprawozdanie roczne stanu systemu ochrony danych osobowych
Rozdział 13
– Szkolenia użytkowników
Rozdział 14
– Postanowienia końcowe
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
Polityka bezpieczeństwa przetwarzania danych
osobowych w Board
Craft
Rozdział 1 – Postanowienia ogólne
§ 1
Celem Polityki Bezpieczeństwa przetwarzania
danych osobowych w Board Craft, zwanej dalej „Polityką
Bezpieczeństwa”, jest uzyskanie optymalnego i zgodnego z wymogami
obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających
dane osobowe.
§ 2
Polityka
Bezpieczeństwa została utworzona w związku z wymaganiami zawartymi w ustawie z
dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2014
r. poz. 1182 ze zm.) oraz rozporządzeniu Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
§ 3
Ochrona danych
osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne,
oprogramowanie systemowe, aplikacje oraz użytkowników.
§ 4
1. Utrzymanie bezpieczeństwa przetwarzanych danych
osobowych w Board Craft
rozumiane jest jako
zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na
odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z
ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć
osiągnięciu powyższych celów i zapewnić:
1) poufność danych – rozumianą
jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym
osobom;
2) integralność danych –
rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione
lub zniszczone w sposób nieautoryzowany;
3) rozliczalność danych –
rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane
w sposób jednoznaczny tylko tej osobie;
4) integralność systemu –
rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji,
zarówno zamierzonej, jak i przypadkowej;
5) dostępność informacji –
rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i
związanych z nią zasobów wtedy, gdy jest to potrzebne;
6) zarządzanie ryzykiem – rozumiane
jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania
ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych
służących do przetwarzania danych osobowych.
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
§ 5
1. Administratorem
danych osobowych przetwarzanych w Board Craft jest Board Craft.
2. Administrator danych
osobowych powołuje administratora bezpieczeństwa informacji, którego zadania
określa § 17.
Rozdział 2 – Definicje
§ 6
Przez użyte w Polityce bezpieczeństwa określenia
należy rozumieć:
1) administrator
danych osobowych – rozumie się jako Board Craft.
2) administrator
bezpieczeństwa informacji (także ABI) – rozumie się przez to
osobę
wyznaczoną przez administratora danych osobowych, nadzorującą przestrzeganie
zasad ochrony danych osobowych, w szczególności zabezpieczenia danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub
zniszczeniem;
3) ustawa
– rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (tekst jedn. Dz.U. z 2014 r., poz. 1182 ze zm.);
4) rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004
r. nr 100, poz. 1024);
5) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej;
6) zbiór danych osobowych – rozumie się przez to każdy posiadający
strukturę zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie;
7) przetwarzane danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych;
8) system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych osobowych;
9) system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z
mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu
przetwarzania danych osobowych na papierze;
10) zabezpieczenie danych w systemie informatycznym – rozumie się przez to
wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
11) administrator systemu informatycznego – rozumie się przez to osobę lub osoby,
upoważnione przez administratora danych osobowych do administrowania i
zarządzania systemami informatycznymi;
12) użytkownik – rozumie się przez to upoważnionego przez administratora danych
osobowych lub administratora bezpieczeństwa informacji (o ile został powołany), wyznaczonego do przetwarzania danych
osobowych pracownika;
13) identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych,
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym;
14) hasło
– ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora
użytkownika, znany jedynie osobie uprawnionej do pracy w systemie
informatycznym.
Rozdział 3 – Zakres stosowania
§ 7
1. W Board Craft przetwarzane są
w szczególności dane
osobowe
pracowników, kontrahentów zebrane w zbiorach danych osobowych.
2. Informacje te są
przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.
3. Polityka bezpieczeństwa
zawiera dokumenty dotyczące wprowadzonych zabezpieczeń technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
§ 8
Politykę bezpieczeństwa stosuje się w
szczególności do:
1) danych osobowych
przetwarzanych w systemie: WordPress, Microsoft Office;
2) wszystkich informacji dotyczących danych
podmiotów;
3) informacji dotyczących
zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w
systemach przetwarzania danych osobowych;
4) rejestru osób dopuszczonych do przetwarzania
danych osobowych;
5) innych dokumentów zawierających dane osobowe.
§ 9
1. Zakresy ochrony danych
osobowych określone przez dokumenty Polityki bezpieczeństwa mają zastosowanie
do systemów informatycznych, w których są przetwarzane dane osobowe, a w
szczególności do:
1) wszystkich istniejących,
wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych,
w których przetwarzane są dane osobowe podlegające ochronie;
2) wszystkich lokalizacji –
budynków i pomieszczeń, w których są lub będą przetwarzane informacje
podlegające ochronie;
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
3) wszystkich podmiotów i
innych osób mających dostęp do informacji podlegających ochronie.
2. Do stosowania zasad
określonych przez dokumenty Polityki bezpieczeństwa zobowiązani są wszyscy
pracownicy, stażyści oraz inne osoby mające dostęp do informacji podlegających
ochronie.
Rozdział 4 – Wykaz zbiorów danych
osobowych
§ 10
1 . Dane osobowe gromadzone
są w zbiorach (wskazać funkcjonujące w
organizacji zbiory danych osobowych np.):
1)
Ewidencja
osób zatrudnionych przy przetwarzaniu danych osobowych;
2)
Akta
osobowe pracowników;
3)
Dokumentacja dotycząca polityki kadrowej – opiniowanie awansów,
wyróżnień, odznaczeń, nagród, wnioski o odznaczenia, itp;
4)
Notatki
służbowe oraz postępowanie dyscyplinarne;
5)
Zbiory
informacji o pracownikach, oświadczenia na potrzeby ZFŚS;
6)
Ewidencja
zwolnień lekarskich;
7)
Skierowania
na badania okresowe, specjalistyczne;
8)
Ewidencja
urlopów, karty czasu pracy;
9)
Kartoteki
wydanej odzieży ochronnej i środków ochrony indywidualnej;
10)
Rejestr
delegacji służbowych;
11)
Ewidencja
osób korzystających z funduszu socjalnego i dokumentacja;
12)
Listy
płac pracowników;
13)
Kartoteki
zarobkowe pracowników, nakazy komornicze;
14)
Deklaracje
ubezpieczeniowe pracowników;
15)
Deklaracje
i kartoteki ZUS pracowników;
16)
Deklaracje
podatkowe pracowników;
17)
Ewidencje
decyzji administracyjnych;
18)
Rejestr
wypadków;
19)
Zbiór
upoważnień;
20)
Umowy
zawierane z osobami fizycznymi;
21)
Dokumenty
archiwalne;
22)
……………………………………………………
23)
………………………………………………
§ 11
Zbiory danych osobowych wymienione w § 10 ust. 1
pkt podlegają przetwarzaniu w
sposób tradycyjny lub przy użyciu systemu informatycznego właściwego dla danego rozwiązania.
Rozdział 5 – Wykaz budynków, pomieszczeń
i stref do przetwarzania danych osobowych
DOKUMENT
WEWNĘTRZNY
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
§ 12
1 Dane osobowe przetwarzane są w budynku,
mieszczącym się w Słupsku przy ulicy
z. Augusta.
2.
1. | Wykaz | pomieszczeń, | w | których | np. | |||
| przetwarzane | są dane | sekretariat | |||||
| (wskazanie | konkretnych | nr |
| ||||
| pomieszczeń) |
|
|
|
|
|
| |
2. | Wykaz | pomieszczeń, | w | których | np. | |||
| znajdują się komputery stanowiące |
| ||||||
| element systemu informatycznego |
| ||||||
3. | Wykaz | pomieszczeń, |
| gdzie | np. | |||
| przechowuje | się | wszelkie | nośniki |
| |||
| informacji | zawierające |
| dane |
| |||
| osobowe | z dokumentacją |
| |||||
| papierową, | szafy | zawierające |
| ||||
| komputerowe nośniki informacji z |
| ||||||
| kopiami zapasowymi danych, stacje |
| ||||||
| komputerowe, | serwery | i | inne |
| |||
| urządzenia komputerowe) |
|
|
| ||||
4. | Wykaz | pomieszczeń, | w | których | np. | |||
| składowane | są | uszkodzone |
| ||||
| komputerowe |
| nośniki | danych |
| |||
| (taśmy, |
| ||||||
| przenośne, |
|
| uszkodzone |
| |||
| komputery) |
|
|
|
|
|
| |
5. | Wykaz pomieszczeń archiwum | np. | ||||||
6. | Wykaz | programów, | w | których | np. | |||
| przetwarzane są dane osobowe |
| ||||||
7. | Wykaz | podmiotów zewnętrznych, |
| |||||
| które |
| ||||||
| osobowych lub je przetwarzają na |
| ||||||
| podstawie podpisanych umów (np. |
| ||||||
| informatyk) – nazwa firmy, imię, |
| ||||||
| nazwisko, adres, funkcja. |
|
|
| ||||
8. | Inne (proszę podać inne informacje | np. Szafy | ||||||
| dotyczące pomieszczeń, w których | zamykane na | ||||||
| przetwarzane | komputery z | ||||||
| oraz ich zabezpieczeń). |
|
|
| systemowo | |||
Rozdział 6 – Wykaz zbiorów danych
osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych
danych
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
§ 13
Lp | Zbiór | Dział/ | Program | Lokalizacja | Miejsce |
|
| jednostka |
| bazy | przetwarzania |
|
| organizacyjna |
| danych | danych |
1. |
|
|
|
|
|
2. |
|
|
|
|
|
3. |
|
|
|
|
|
4. |
|
|
|
|
|
5. |
|
|
|
|
|
6. |
|
|
|
|
|
Rozdział 7 – Struktura zbiorów danych
wskazujących zawartość poszczególnych pól informacyjnych
§ 14
Struktura
zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla
programów i systemów stosowanych w Board Craft przedstawia się w sposób
następujący:
PRZYKŁADY
1. Program Kancelaryjny
1)
Grupa,
2)
Nazwa firmy,
3)
Nr wpisu,
4)
Imię,
5)
Nazwisko,
6)
Miejsce wykonywania czynności doradztwa
podatkowego,
7)
Miejscowość wykonywania czynności doradztwa
podatkowego,
8)
Województwo,
9)
Zawieszenie od,
10)
Zawieszenie do,
11)
Miejsce zamieszkania,
12)
Miejscowość zamieszkania,
13)
Adres do korespondencji,
14) Tel,
15)
Fax,
16)
e-mail,
17)
Tel komórkowy,
18)
Data wpisu,
19)
Data urodzenia,
20)
Numer legitymacji,
21) Konto na
składki,
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
2. Program Symfonia Finanse I Księgowość
Dla modułu Finanse i Księgowość systemu Forte
można wyróżnić następujące tabele i widoki (w schemacie bazy danych w
przestrzeni nazw [FK]) służące przechowaniu danych ksiąg rachunkowych):
1)
Okres,
2)
Data okresu,
3)
Opis,
Itd.
Rozdział 8 – Sposób przepływu danych
między poszczególnymi systemami, współpracy systemów informatycznych ze
zbiorami danych
§ 15
Przepływ
danych pomiędzy poszczególnymi systemami
Program | Przepływ | Program | Przepływ |
Office | <-> | …… | brak |
Office | <-> | …… | brak |
Office | <-> | …… | brak |
…… | <-> | …… | brak |
…… | <-> | …… | brak |
…… | <-> | …… | brak |
lub można zapisać to w formie graficznej
PRZYKŁADY
1.
Symfonia Kadry i Płace à Płatnik
2.
Symfonia Kadry i Płace
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
3.
Symfonia Finanse i Księgowość
Rozdział 9 – Środki techniczne i
organizacyjne zabezpieczenia danych osobowych
§ 16
1. Zabezpieczenia organizacyjne
1. sporządzono i wdrożono Politykę bezpieczeństwa;
2. sporządzono i wdrożono
Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych w Board Craft;
3. wyznaczono ABI (o ile został wyznaczony);
4. do przetwarzania danych
zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez
administratora danych bądź osobę przez niego upoważnioną;
5. stworzono procedurę
postępowania w sytuacji naruszenia ochrony danych osobowych;
6. osoby zatrudnione przy przetwarzaniu
danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych
oraz w zakresie zabezpieczeń systemu informatycznego;
7. osoby zatrudnione przy
przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w
tajemnicy;
8. przetwarzanie danych
osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem
osób nieupoważnionych;
9. przebywanie osób
nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest
dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych
osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
10. dokumenty i nośniki
informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje
się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich
modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu
usunięcia danych niemożliwa była identyfikacja osób.
2. Zabezpieczenia techniczne
1) wewnętrzną sieć komputerową
zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą DNS i Firewall Norton.
2) stanowiska komputerowe wyposażono w indywidualną
ochronę antywirusową,
3) komputery zabezpieczono
przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych
osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne
wymuszanie zmiany hasła,
3. Środki ochrony fizycznej:
1) obszar, na którym
przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem,
2) obszar, na którym
przetwarzane są dane osobowe objęty jest całodobowym monitoringiem,
3) urządzenia służące do
przetwarzania danych osobowych umieszcza się w zamykanych pomieszczeniach.
Rozdział 10 – Zadania administratora
danych osobowych lub administratora bezpieczeństwa informacji
(w zależności
od tego, czy ABI został powołany)
§ 17
Do najważniejszych
obowiązków administratora danych osobowych lub administratora bezpieczeństwa
informacji należy:
1) organizacja bezpieczeństwa
i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych
osobowych,
2) zapewnienie przetwarzania danych zgodnie z
uregulowaniami Polityki,
3) wydawanie i anulowanie upoważnień do
przetwarzania danych osobowych,
4) prowadzenie ewidencji osób upoważnionych do
przetwarzania danych osobowych,
5) prowadzenie postępowania
wyjaśniającego w przypadku naruszenia ochrony danych osobowych, prowadzenie
postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
6) nadzór nad bezpieczeństwem danych osobowych,
7) kontrola działań komórek
organizacyjnych pod względem zgodności przetwarzania danych z przepisami o
ochronie danych osobowych,
8) inicjowanie i podejmowanie
przedsięwzięć w zakresie doskonalenia ochrony danych osobowych
Rozdział 11 – Zadania administratora
systemu informatycznego
(o ile został
powołany/zatrudniony np. informatyk)
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
§ 18
1. Administrator systemu informatycznego
odpowiedzialny jest za:
1) bieżący monitoring i
zapewnienie ciągłości działania systemu informatycznego oraz baz danych;
2) optymalizację wydajności
systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i
serwerowego;
3) instalacje i konfiguracje oprogramowania
systemowego, sieciowego;
4) konfigurację i
administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym
dane chronione przed nieupoważnionym dostępem;
5) nadzór nad zapewnieniem
awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na
bezpieczeństwo przetwarzania danych;
6) współpracę z dostawcami
usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów
dotyczących ochrony danych osobowych;
7) zarządzanie kopiami
awaryjnymi konfiguracji oprogramowania systemowego, sieciowego;
8) zarządzanie kopiami
awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie;
9) przeciwdziałanie próbom naruszenia
bezpieczeństwa informacji;
10) przyznawanie na wniosek
administratora danych osobowych lub administratora bezpieczeństwa informacji
ściśle określonych praw dostępu do informacji w danym systemie;
11) wnioskowanie do
administratora danych osobowych lub administratora bezpieczeństwa informacji w sprawie
zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń;
12) zarządzanie licencjami, procedurami ich
dotyczącymi;
13) prowadzenie profilaktyki antywirusowej.
2. Praca administratora
systemu informatycznego jest nadzorowana pod względem przestrzegania ustawy o
ochronie danych osobowych, Rozporządzenia Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych oraz Polityki bezpieczeństwa przez administratora danych lub
administratora bezpieczeństwa informacji.
Rozdział 12 – Sprawozdanie roczne stanu
systemu ochrony danych osobowych
§ 19
§
Corocznie do dnia 10 stycznia ABI przygotowuje sprawozdanie roczne stanu
funkcjonowania systemu ochrony danych osobowych i przekazuje dla administratora
danych osobowych.
§
Sprawozdanie
przygotowywane jest w formie pisemnej.
Rozdział 13 – Szkolenia użytkowników
POLITYKA
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
nazwa podmiotu:
Board Craft
§ 20
§
Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym
przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej
powinien być poddany przeszkoleniu w zakresie ochrony danych osobowych w
zbiorach elektronicznych i papierowych.
§
Za przeprowadzenie szkolenia odpowiada administrator danych osobowych
lub ABI (o ile został powołany).
§
Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami
ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami
wykonawczymi oraz instrukcjami obowiązującymi u administratora danych
osobowych, a także o zobowiązaniu się do ich przestrzegania.
§
Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o
wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do
przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych
osobowych.
§
Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi
podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu
informatycznego przetwarzającego dane osobowe.
Rozdział 14 – Postanowienia końcowe
§ 21
§
Administrator danych osobowych lub administrator bezpieczeństwa
informacji (o ile został powołany) ma
obowiązek zapoznać z treścią Polityki każdego użytkownika.
§
Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce
dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek
innej formie.
§
Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych
osobowych postanowień zawartych w Polityce.
§
Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu
informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła
działania określonego w niniejszym dokumencie, a w szczególności nie
powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie
zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć
postępowanie dyscyplinarne.
§
Kara
dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie
wyklucza
odpowiedzialności karnej tej osoby, zgodnie z ustawą oraz możliwości wniesienia
wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie
poniesionych strat.
§
W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy ustawy
oraz rozporządzenia.