Polityka Ochrony Danych Osobowych przetwarzanych przez ARVIKA Michał Pawlikowski z siedzibą w Rudawie.

Rozdział I

Strategia Bezpieczeństwa
[Postanowienia ogólne]

  1. ARVIKA Michał Pawlikowski (zwana w dalszej części: „ARVIKA”) z siedzibą w Rudawie działając w wykonaniu obowiązku ciążącego z mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) niniejszym wprowadza Politykę Ochrony Danych Osobowych.
  2. Celem ARVIKA przyświecającym przy tworzeniu Polityki Ochrony Danych Osobowych jest stworzenie i wdrożenie w życie środków organizacyjnych i technicznych zapewniających ochronę danych osobowych, zabezpieczenie danych przez ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub ich zniszczeniem.
  3. Polityka Ochrony Danych Osobowych odnosi się do danych osobowych, przetwarzanych w związku z działalnością gospodarczą ARVIKA, a w szczególności tych przechowywanych w zbiorach.
  4. Filary ochrony danych osobowych:
    1. Legalność − ARVIKA dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
    2. Bezpieczeństwo − ARVIKA zapewnia odpowiedni poziom bezpieczeństwa danych podejmując stale działania w tym zakresie.
    3. Prawa Jednostki − ARVIKA umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
    4. Rozliczalność − ARVIKA dokumentuje to, w jaki sposób spełnia obowiązki, aby w każdej chwili móc wykazać zgodność.
  5. ARVIKA przetwarza dane osobowe:
    1. w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
    2. rzetelnie i uczciwie (rzetelność);
    3. w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
    4. w konkretnych celach (minimalizacja);
    5. nie więcej niż potrzeba (adekwatność);
    6. z dbałością o prawidłowość danych (prawidłowość);
    7. nie dłużej niż potrzeba (czasowość);
    8. zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).
  6. ARVIKA przetwarza wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
  7. Wszystkie osoby zatrudnione przy przetwarzaniu danych osobowych w systemach informatycznych bez względu na zajmowane stanowisko i miejsce pracy oraz charakter stosunku pracy są zobowiązane do postępowania zgodnie z zasadami określonymi w niniejszej instrukcji.
  8. Polecenia osób wyznaczonych przez administratora danych osobowych do realizacji zadań w zakresie ochrony informacji i bezpieczeństwa systemów informatycznych muszą być bezwzględnie wykonywane przez wszystkich Pracowników.
  9. Nieprzestrzeganie postanowień niniejszej instrukcji oraz brak nadzoru nad bezpieczeństwem informacji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności prawnej.

Rozdział II

Definicje

Ilekroć w Polityce Ochrony Danych Osobowych użyto poniższych terminów należy przez nie rozumieć:

  1. Administrator Danych – ARVIKA Michał Pawlikowski z siedzibą w Rudawie, przy ul. Śląska 38, 32-064 Rudawa, posiadającą numer Identyfikacji podatkowej NIP: 944-186-93-35,
  2. Bezpieczeństwo informacji – zapewnienie kompletności i dokładności danych znajdujących się w zbiorach danych oraz metod ich przetwarzania, utrzymanie dostępu do danych oraz związanych z nimi aktywów jedynie dla osób upoważnionych i jedynie w wypadkach, gdy istnieje taka potrzeba;
  3. Polityka – niniejszą Politykę Ochrony Danych Osobowych.
  4. Użytkownicy – osoby fizyczne, które uzyskały dostęp do systemu informatycznego.
  5. Zbiory Danych – uporządkowane zestawy danych osobowych dostępne według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
  6. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
  7. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;.
  8. Pracownicy/Współpracownicy – osoby, które uzyskały od Administratora Danych Osobowych dostęp do zbiorów danych osobowych, w tym przetwarzanych w systemie informatycznym.
  9. Podmiot przetwarzający – oznacza organizację lub osobę, której Administrator powierzył przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).

Rozdział III

Środki techniczne i organizacyjne

  1. Administrator dokłada wszelkich starań i dba aby przetwarzanie Danych Osobowych odbywało się z zachowaniem wszelkich zasad poufności.
  2. Dostęp do danych osobowych podlega kontroli.
  3. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
  4. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
  5. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
  6. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych
  7. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony
  8. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony
  9. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy
  10. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów
  11. Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
  12. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
  13. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania.
  14. Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania
  15. Dane przechowywane na nośnikach zewnętrznych zabezpieczone są przed bezprawnym dostępem osób trzecich. Dane są szyfrowane a nośniki przechowywane w bezpiecznym miejscu.
  16. W zakresie niezbędnym do zabezpieczenia danych i do uniknięcia wycieku danych ze zbiorów osobowych stosuje się procedurę mechanicznego niszczenia dokumentów. Tymczasowe wydruki z danymi osobowymi są po ustaleniu ich przydatności niszczone.
  17. Osoby nieuprawnione do przetwarzania danych mogą przebywać w obszarze ich przetwarzania jedynie za zgodą Administratora Danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych przez Administratora Danych.
  18. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są do zachowania ich w tajemnicy. Osoby zatrudnione przy przetwarzaniu danych osobowych są przed dopuszczeniem ich do przetwarzania przez Administratora Danych szkolone w zakresie obowiązujących przepisów o ochronie danych osobowych, procedur ich przetwarzania, jak również są informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym.
  19. Pracownicy mają dostęp tylko do tych danych osobowych, do których mają uprawnienia.
  20. System informatyczny zabezpieczony jest programem antywirusowym, którego celem jest uniknięcie uzyskania nieuprawnionego dostępu do systemu informatycznego. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
  21. System informatyczny zabezpieczony jest przed utratą danych spowodowaną awarią zasilenia lub zakłóceniami w sieci zasilającej.
  22. Dane osobowe znajdujące się w zbiorze danych zabezpieczone są poprzez wykonanie kopii zapasowych.
  23. Nośniki informacji zawierające dane osobowe znajdujące się w zbiorze danych przeznaczone do likwidacji pozbawia się wcześniej zapisu tych danych. Jeżeli nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
  24. Nośniki informacji zawierające dane osobowe znajdujące się w zbiorze danych przeznaczone do przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie.
  25. Nośniki informacji zawierające dane osobowe znajdujące się w zbiorze danych przeznaczone do naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora Danych.
  26. System informatyczny chroniony jest przed zagrożeniami pochodzącymi z sieci za pomocą środków umożliwiających kontrolę przepływu informacji pomiędzy systemem a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej i systemu.

Rozdział IV

Zapewnienie dokumentacji i ciągłości doskonalenia zabezpieczeń

  1. Administrator Danych Osobowych zobowiązuje się do prowadzenia niezbędnej dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zastosowane w celu ich ochrony.
  2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
  3. Osoby przetwarzające Dane Osobowe z upoważnienia Administratora zostały odpowiednio przeszkolone.
  4. Administrator dołoży wszelkich starań aby pracownicy byli regularnie szkoleni w zakresie ochrony danych osobowych, w szczególności w zakresie zmiany przepisów powszechnie obowiązujących.

  5. Osoby naruszające zasady Polityki Ochrony Danych Osobowych zostaną pociągnięte do odpowiedzialności.
  6. Administrator Danych na bieżąco monitoruje wdrożone zabezpieczenia systemu informatycznego.

Rozdział V

Procedury nadawania uprawnień

  1. Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w systemie informatycznym, zawierającą imiona, nazwiska, daty nadania uprawnień, daty ustania uprawnień osób upoważnionych przez administratora danych osobowych do ich przetwarzania oraz zakres dostępu do tychże danych.
  2. Dostęp do sieci informatycznej, systemu informatycznego i programów zabezpieczony jest systemem nadawanych loginów i haseł. Identyfikator i hasło jednoznacznie identyfikują, weryfikują i autoryzują tożsamość użytkownika.
  3. Rejestracji użytkowników w systemie oraz tworzenia kont służących im do pracy dokonuje Administrator Danych Osobowych.
  4. W systemie informatycznym rejestrowani mogą być wyłącznie użytkownicy, których Administrator Danych Osobowych wpisał do ewidencji osób upoważnionych do przetwarzania danych.
  5. W systemie informatycznym dla każdego użytkownika rejestrowany jest odrębny identyfikator powiązany ze znanym tylko i wyłącznie użytkownikowi hasłem. Identyfikator jednoznacznie identyfikuje, weryfikuje i autoryzuje tożsamość użytkownika, a w szczególności jest podstawą do monitorowania czynności użytkownika w systemie oraz dochodzenia konsekwencji tych czynności.
  6. Wyłączenie użytkownika z ewidencji osób upoważnionych do przetwarzania danych osobowych obliguje Administratora Danych Osobowych do odebrania temu użytkownikowi dostępu do danych osobowych przetwarzanych w systemie informatycznym oraz do odebrania wyłączonemu użytkownikowi uprawnień do przetwarzania tychże danych.
  7. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie jest usuwany z systemu informatycznego i nie jest przydzielany innej osobie.
  8. Administrator Danych Osobowych w każdym momencie dysponuje wykazem identyfikatorów przyznanych użytkownikom w poszczególnych systemach informatycznych powiązanym z imiennym wskazaniem użytkownika danego identyfikatora. Wykaz ten musi uwzględniać również użytkowników, którym odebrano uprawnienia i których wyrejestrowano.

Rozdział VI

Stosowane metody i środki uwierzytelniania

  1. Użytkownik jest w pełnym zakresie odpowiedzialny za swoje hasło, w tym za jego okresowe zmienianie i utrzymywanie w tajemnicy.
  2. Pierwsze hasło Użytkownik otrzymuje w formie ustnej od Administrator Danych Osobowych.
  3. Użytkownik jest w pełnym zakresie odpowiedzialny za dostosowanie hasła do opisanych niżej obowiązujących reguł, jeśli przestrzegania tych reguł nie wymusza w sposób automatyczny system informatyczny lub oprogramowanie.
  4. Żaden z Użytkowników, nie może mieć możliwości uzyskania z systemu informatycznego aktualnego lub nieważnego hasła innego Użytkownika. Administrator Danych Osobowych musi mieć możliwość zmiany hasła Użytkownika bez znajomości aktualnego lub nieważnego hasła Użytkownika.
  5. Hasło Użytkownika nie może być takie samo jak identyfikator Użytkownika.
  6. Hasło Użytkownika musi być zmienione niezwłocznie w przypadku jego ujawnienia lub podejrzenia jego ujawnienia.
  7. Użytkownik jest zobowiązany do utrzymania swoich haseł w tajemnicy, również po utracie ich ważności.
  8. Hasło przy wpisywaniu nie może być w sposób jawny wyświetlane na ekranie.
  9. Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.
  10. Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
  11. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
  12. Zastosowano kryptograficzne środki ochrony danych osobowych.

Rozdział VII

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez Pracowników systemu.

  1. Administrator Danych Osobowych ma prawo do monitorowania pracy urządzeń przyłączonych do sieci informatycznej pod kątem przesyłania i przetwarzania danych, rejestracji zdarzeń związanych z przesyłaniem i przetwarzaniem danych w oprogramowaniu oraz prawidłowości wykorzystania powierzonego użytkownikom sprzętu i oprogramowania.
  2. Przed rozpoczęciem pracy w sieci informatycznej Użytkownik musi się w niej autoryzować przez podanie swojego identyfikatora i hasła. Dopiero po pomyślnej autoryzacji w sieci informatycznej Użytkownik może uruchomić program służący do przetwarzania danych osobowych.
  3. Sposób wymiany i przesyłania danych w sieci lokalnej musi umożliwiać identyfikację pracujących Użytkownik oraz ich działań przy wykorzystaniu sieci informatycznej i oprogramowania.
  4. Informacje pozyskane w wyniku monitorowania działań Pracowników oraz pracy urządzeń są dostępne wyłącznie Administratorowi Danych Osobowych i mogą zostać wykorzystane wyłącznie do celów służbowych, związanych z bezpieczeństwem przetwarzania danych w systemach informatycznych.
  5. W przypadku konieczności czasowego opuszczenia stanowiska pracy przyłączonego do sieci informatycznej lub służącego przetwarzaniu danych wiążącego się ze utratą z zasięgu pola widzenia swojego stanowiska, Użytkownik powinien: wylogować się z programu lub sieci informatycznej, lub zablokować stację roboczą odpowiednią kombinacją klawiszy, przy czym odblokowanie może nastąpić dopiero po podaniu hasła, lub dopilnować konfiguracji wygaszacza ekranu w ten sposób, aby powrót do normalnej pracy był możliwy dopiero po podaniu hasła.
  6. Użytkownik jest zobowiązany do wyrejestrowania się z systemu informatycznego przed wyłączeniem stacji roboczej.
  7. W sytuacji naruszenia lub podejrzenia naruszenia bezpieczeństwa systemu, Użytkownicy zobowiązani są do bezzwłocznego powiadomienia o tym fakcie Administratora Danych Osobowych

Rozdział VIII

Procedury tworzenia kopii zapasowych zbiorów danych

  1. Kopią zapasową i awaryjną objęte są dane osobowe znajdujące się w sieci informatycznej.
  2. Za sporządzenie i bezpieczeństwo kopii zapasowych i awaryjnych odpowiedzialny jest podmiot zewnętrzny świadczący na rzecz Administratora Danych usługi hostingowe.
  3. Sporządzenie kopii zapasowych i awaryjnych można powierzyć osobie upoważnionej przez Administrator Danych Osobowych.
  4. Kopia zapasowa wykonywana jest przez kopiowanie całości danych.
  5. Kopie awaryjne tworzone są przed każdą aktualizacją systemu informatycznego, składników systemu informatycznego lub poszczególnych programów służących do przesyłania lub przetwarzania danych.
  6. W czasie wykonywania kopii zapasowej dostęp do kopiowanych danych dla wszystkich Pracowników jest zablokowany.
  7. Nośnik pamięci, na którym znajduje się kopia zapasowa podlega zabezpieczeniu, aż do sporządzenia nowej kopii zapasowej po upływie okresu, na który sporządzono poprzednią kopię zapasową. Po upływie tego okresu oraz w wypadku sporządzenia nowej kopii z innych powodów, stare kopie zapasowe likwiduje się. W wypadku konieczności likwidacji nośnika, na którym umieszczono kopię zapasową zbioru danych Administrator Danych Osobowych lub osoba przez niego upoważniona pozbawia wcześniej nośnik zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza go w sposób uniemożliwiający ich odczytanie.
  8. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco

Rozdział IX

Sposób, miejsce i okres przechowywania wydruków, elektronicznych nośników informacji oraz kopii zapasowych zawierających dane osobowe.

  1. Wydruki archiwalne lub bieżące przechowywane mogą być wyłącznie w pomieszczeniach uniemożliwiających dostęp do nich przez osoby nieupoważnione.
  2. Za bezpieczeństwo danych zapisanych w komputerach przenośnych oraz w innych urządzeniach przenośnych w całości odpowiada Pracownik komputera lub urządzenia przenośnego.
  3. Zbędne wydruki zawierające dane osobowe natychmiast po wykorzystaniu muszą zostać zniszczone.
  4. Przeznaczone do likwidacji elektroniczne i optyczne nośniki informacji, mogące zawierać dane osobowe, pozbawia się w sposób trwały zapisu tych danych, a w przypadku gdy nie jest to możliwe, niszczy lub uszkadza się w sposób trwale uniemożliwiający ich odczytanie.
  5. Kopie zapasowe usuwa się niezwłocznie w wypadku ich uszkodzenia lub po utracie terminu przechowywania, w sposób trwale uniemożliwiający ich odczytanie.
  6. Kopie awaryjne usuwane są bezzwłocznie po ustaniu ich użyteczności.

Rozdział X

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego lub inna ingerencja w ten system.

  1. System informatyczny jest zabezpieczany przez zastosowanie rozwiązań sprzętowych i programowych.
  2. Pracownicy mają obowiązek zgłaszać Administratorowi Danych Osobowych wszelkie potrzeby lub zauważone niedociągnięcia w zakresie zapewnienia bezpieczeństwa systemu informatycznego.
  3. W przypadku, gdy system zabezpieczeń wskazuje zaistnienie zagrożenia, Pracownicy są zobowiązani bezzwłocznie powiadomić o tym fakcie Administrator Danych Osobowych o, który po jego usunięciu sprawdza system i przywraca go do pełnej funkcjonalności.
  4. Bezwzględnie zakazuje się Pracownikom samowolnego korzystania z prywatnych lub pochodzących ze źródła innego niż miejsce pracy nośników informacji (magnetycznych, optycznych, urządzeń podłączanych do stacji roboczych). Korzystanie z takich nośników może mieć miejsce wyłącznie po uzyskaniu zgody Administrator Danych Osobowych, po uprzednim sprawdzeniu nośnika informacji przez Administratora Systemu Informatycznego pod względem bezpieczeństwa dla systemu informatycznego.
  5. Bezwzględnie zakazuje się Pracownikom wykorzystywania powierzonego im sprzętu informatycznego, oprogramowania i dostępu do zasobów informatycznych do jakichkolwiek celów innych niż wykonywanie powierzonych im obowiązków służbowych lub związanych z własną edukacją i dokształcaniem.
  6. Bezwzględnie zakazuje się Pracownikom samowolnego instalowania na stacjach roboczych jakiegokolwiek oprogramowania z jakiegokolwiek źródła w szczególności z Internetu, za wyjątkiem aktualizowanych automatycznie komponentów systemu operacyjnego.
  7. W przypadku konieczności zainstalowania innego oprogramowania niż to, które otrzymuje do dyspozycji na powierzonej mu stacji roboczej, Pracownik zgłasza taką potrzebę swojemu bezpośredniemu przełożonemu. W przypadku pozytywnej opinii jedyną osobą uprawnioną do zainstalowania dodatkowego oprogramowania jest Administrator Danych Osobowych.
  8. Bezwzględnie zabrania się Pracownikom łamania lub obchodzenia zabezpieczeń systemów informatycznych. O każdym przypadku znalezienia luki w zabezpieczeniach Pracownik ma obowiązek powiadomić Administratora Danych Osobowych.
  9. Pracownicy są bezpośrednio odpowiedzialni za zainstalowane na powierzonych im stacjach roboczych oprogramowanie oraz mają obowiązek zgłaszać wszelkie wątpliwości w tym zakresie Administratorowi Danych Osobowych, ze szczególnym uwzględnieniem zmian, które zostały wprowadzone podczas ich nieobecności.
  10. System informatyczny zabezpieczony jest oprogramowaniem antywirusowym, o którego doborze decyduje Administrator Danych Osobowych. Metody i częstotliwość aktualizacji definicji wirusów określa umowa licencyjna zawarta pomiędzy Administratorem Danych a podmiotem praw autorskich programu antywirusowego.
  11. W wypadku, gdy oprogramowanie antywirusowe wskazuje zaistnienie zagrożenia Pracownik zobowiązany jest niezwłocznie poinformować o tym Administratora Danych Osobowych i wykonywać niezwłocznie wszystkie wydane przez niego polecenia.
  12. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Obejmują one:
    • kontrolę przepływu informacji pomiędzy systemem informatycznym Administratora Danych a siecią publiczną;
    • kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Rozdział XI

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

  1. Przeglądu i konserwacji sprzętu w sieci informatycznej, systemów informatycznych i nośników informacji dokonuje stosownie do potrzeb Administrator Danych Osobowych.
  2. W przypadku przekazywania stacji roboczej z dyskiem albo innych nośników informacji do naprawy, dysk lub nośnik jest demontowany, pozbawiany wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie lub naprawa dokonywana jest w obecności osoby upoważnionej przez Administratora Danych Osobowych.
  3. Bezwzględnie zabronione jest samodzielne dokonywanie przez Pracowników napraw sprzętu informatycznego, wymiana jego podzespołów oraz wykonywanie innych czynności nie związanych bezpośrednio z jego eksploatacją lub nie dopuszczonych do wykonywania przez producenta sprzętu w instrukcji obsługi.
  4. Pracownik ma obowiązek niezwłocznie powiadomić Administratora Danych Osobowych o wszelkich nieprawidłowościach i awariach sprzętu informatycznego, mogących prowadzić do próby naruszenia bezpieczeństwa danych osobowych.
  5. W przypadku awarii systemu informatycznego i utraty informacji lub w przypadku zaistnienia możliwości uszkodzenia informacji Administrator Danych Osobowych jest zobowiązany do:
    1. przetestowania sieci informatycznej, systemu informatycznego oraz aplikacji służącej do przetwarzania danych,
    2. ocenić zasadność odtworzenia danych przy wykorzystaniu aktualnej kopii zapasowej lub kilku kopii zapasowych,
    3. w przypadku uzasadnionej konieczności odtworzyć dane przy wykorzystaniu aktualnej kopii zapasowej lub kilku kopii zapasowych