Biuro rachunkowe "AGNES" Agnieszka Weinert :: Polityka Bezpieczeństwa - Biuro Rachunkowe "AGNES"
Menu główne:
Biuro rachunkowe "AGNES" Agnieszka Weinert :: Polityka Bezpieczeństwa
Polityka bezpieczeństwa
Zobacz: Polityka Prywatności
POLITYKA BEZPIECZEŃSTWA w BIURO RACHUNKOWE „AGNES”
Część I – Wstęp
§ 1
Zgodnie z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 Nr 133 poz. 883 z późn. zm.), zwanej dalej „ustawą” oraz z § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), zwanego dalej „rozporządzeniem”, ustanawia się „Politykę Bezpieczeństwa”.
§ 2
Ilekroć w niniejszym dokumencie jest mowa o jednostce organizacyjnej, należy przez to rozumieć BIURO RACHUNKOWE „AGNES”.
Część II – Zasady przetwarzania i ochrony danych osobowych
§ 1
Każda osoba, mająca dostęp do danych osobowych przetwarzanych w jednostce organizacyjnej jest zobowiązana do zapoznania się z niniejszym dokumentem.
§ 2
Wymagany przez rozporządzenie wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe (zwany dalej „obszarem przetwarzania”) stanowi załącznik nr 1 do niniejszego dokumentu.
§ 3
Wymagany przez rozporządzenie wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, stanowi załącznik nr 2 do niniejszego dokumentu.
§ 4
Osoby, które przetwarzają w jednostce organizacyjnej dane osobowe, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez Administratora Danych Osobowych (załącznik nr 3 do niniejszego dokumentu) oraz podpisać oświadczenie o zachowaniu poufności tych danych (załącznik nr 4 do niniejszego dokumentu).
§ 5
Każda osoba posiadająca upoważnienie do przetwarzania danych osobowych posiada swój identyfikator oraz hasło, pozwalające na zalogowanie się do systemu informatycznego, w którym przetwarzane są dane osobowe. Techniczne wymagania, jakie musi spełniać hasło, określone zostały w części II § 2 Instrukcji Zarządzania Systemem Informatycznym.
§ 6
W przypadku konieczności dostępu do obszaru przetwarzania osób, nieposiadających upoważnienia, o jakim mowa w § 4 (załącznik nr 3 do niniejszego dokumentu), które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oni oświadczenie o zachowaniu poufności (załącznik nr 4 do niniejszego dokumentu), chyba że czynności odbywają się pod nadzorem osoby upoważnionej do przetwarzania danych.
§ 7
Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 31 ustawy.
§ 8
Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego.
§ 9
Dokumenty zawierające dane osobowe przechowywane w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w szafach zamykanych na klucz. W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
§ 10
Zasady przetwarzania danych osobowych w systemie informatycznym określone są w „Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w BIURO RACHUNKOWE „AGNES”.
§ 11
Nadzór nad przetwarzaniem danych osobowych w jednostce organizacyjnej sprawuje osoba kierująca prowadzoną działalnością. Osoba ta może wyznaczyć pełnomocnika ds. danych osobowych do którego zadań będzie należało bezpośrednie nadzorowanie stanu realizacji procedur związanych z ochroną danych osobowych, a w razie potrzeby także bezpośrednia realizacja procedur w imieniu osoby kierującej działalnością jednostki organizacyjnej. Pełnomocnictwo dla pełnomocnika ds. danych osobowych stanowi załącznik nr 5 do niniejszego dokumentu. W przypadku wyznaczenia Pełnomocnika ds. danych osobowych należy do niego odnosić obowiązki przewidziane w paragrafach następujących dla osoby nadzorującej przetwarzanie danych.
§ 12
Osoba nadzorująca przetwarzanie danych prowadzi wykaz zbiorów danych osobowych przetwarzanych w jednostce organizacyjnej (załącznik nr 2 do niniejszego dokumentu) oraz, kiedy jest to wymagane przez przepisy, zgłasza zbiory do rejestracji do GIODO. W ramach nadzoru nad przetwarzaniem danych, osoba ta sprawdza w szczególności cele, zakres przetwarzania, czas przetwarzania oraz sposoby zabezpieczenia danych osobowych. Upoważnienie do przetwarzania danych osobowych (załącznik nr 3 do niniejszego dokumentu) nadaje osoba nadzorująca przetwarzanie danych, która jest także zobowiązana do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w jednostce organizacyjnej.
§ 13
Osoba nadzorująca przetwarzanie danych prowadzi również następujące wykazy:
a) ewidencję osób, którym nadano upoważnienia do przetwarzania danych osobowych (załącznik nr 6 do niniejszego dokumentu),b) wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowiących obszar przetwarzania (załącznik nr 1 do niniejszego dokumentu),c) wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 7 i nr 9 do niniejszego dokumentu),d) wykaz podmiotów, z którymi zawarto umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy (załącznik nr 8 do niniejszego dokumentu).
§ 14
Osoby upoważnione do przetwarzania danych mają obowiązek:
a) przetwarzać je zgodnie z obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem,b) nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym,c) zabezpieczać je przed zniszczeniem.
§ 15
W przypadku otrzymania wniosku o udostępnienie danych osobowych od osoby, której one dotyczą, osoba wyznaczona przez osobę nadzorującą przetwarzanie danych przygotowuje odpowiedź w ciągu 30 dni.
§ 16
W przypadku zbierania danych osobowych od osoby, której one dotyczą, osoba nadzorująca przetwarzanie danych jest obowiązana poinformować tę osobę w przystępnej dla niej formie o (w szczególności może to być informacja ustna, zapis w umowie lub regulaminie) o:
a) adresie swojej siedziby i pełnej nazwie, (lub odpowiednio imieniu, nazwisku i miejscu zamieszkania Administratora Danych Osobowych, jeżeli działa on jako osoba fizyczna),b) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,c) prawie dostępu do treści swoich danych oraz ich poprawiania,d) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Część III – Postanowienia końcowe
§ 1
Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z art. 49-54a ustawy o ochronie danych osobowych.
§ 2
W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§ 3
Niniejszy dokument wchodzi w życie z dniem 25.05 2018 r.
Agnieszka Weinert
Administrator Danych Osobowych