Instrukcja zarządzania systemem informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZBIÓR DANYCH OSOBOWYCH P.N. :

Użytkownicy platformy handlowej omoto.pl

ADMINISTRATOR : DARPIT SP. Z O.O. z siedzibą w Tarnowie

 

Na podstawie zapisów ustawy o ochronie danych osobowych (tekst jednolity z dnia 17czerwca 2002 roku Dz. U. nr 101 poz. 926 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku (Dz. U. nr 100, poz. 1024) opracowuje się instrukcję zarządzania systemem informatycznym mającą zastosowanie w przypadku zbioru danych osobowych pn. Użytkownicy platformy handlowej omoto.pl, którego administratorem jest spółka Darpit sp. z o.o. z siedzibą w Tarnowie.

Osoba mająca dostęp do danych osobowych legitymująca się pisemnym, imiennym upoważnieniem (osoba upoważniona), zobowiązana jest do zachowania tajemnicy w zakresie danych osobowych, sposobu ich przetwarzania oraz zabezpieczenia. Każda osoba upoważniona została przeszkolona w zakresie ochrony danych osobowych. Dostęp do systemów teleinformatycznych posiadają tylko upoważnieni użytkownicy. Nadawanie uprawnień oraz uwierzytelnianie użytkowników jest zgodne z w/w rozporządzeniem. Stosowana jest ochron kryptograficzna danych przesyłanych drogą teleinformatyczną.

Dostęp do danych zabezpieczony został identyfikatorem przyporządkowanym dla pracownika oraz hasłem do konta (hasło root). Zastosowano technologię wymuszającą cykliczną zmianę haseł do identyfikatorów użytkowników.

Rozpoczęcie pracy przez użytkownika wiąże się z koniecznością zalogowania do systemu. Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić administratora danych.

Użytkownicy zobowiązani są do wylogowania z systemu w razie czasowego zaprzestania pracy. Zastosowany został system wygaszania komputera i wylogowania się z systemu w przypadku dłuższego nieużywania urządzenia. W razie zakończenia pracy pracownik zobowiązany jest wylogować się z systemu i wyłączyć urządzenie na którym wykonywał obowiązki pracownicze.

Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco (serwery backup ftp znajdują się w osobnym pomieszczeniu).

Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.

Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w „Polityce bezpieczeństwa danych osobowych”.

Dostęp do kopii zapasowych mają tylko osoby upoważnione.

Informacje o tym, komu i kiedy dane osobowe zostały udostępnione magazynowane są na serwerach zgodnie z umową powierzenia. W tym celu wykorzystuje się rejestr osób, którym dane osobowe zostały udostępnione.

Stosuje się programy antywirusowe, chroniące przed złośliwym oprogramowaniem oraz system firewall. Wszystkie dane przetwarzane są w macierzach dyskowych RAID zabezpieczających przed skutkami awarii pamięci masowej. W przypadku awarii dysku zawierającego dane osobowe, dane są kasowane przy pomocy programów zamazujących dane, przed jego przekazaniem do naprawy. Jeżeli naprawa dysku jest niemożliwa, po logicznym usunięciu danych jest on fizycznie niszczony.

Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.

Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w „Polityce bezpieczeństwa danych osobowych”.

Administrator danych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.

Należy instalować zalecane przez producentów oprogramowania poprawki i uaktualnienia systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania.