POLITYKA BEZPIECZEŃSTWA
CIGEN SP. Z O. O.
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych
Stosownie do treści ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych oraz wydanym w oparciu o jej przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r., ustanawia się zbiór reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej, które umożliwią zapewnienie ochrony danych osobowych. Polityka bezpieczeństwa jest dokumentem, który charakteryzuje całokształt czynności zmierzających do uzyskania i utrzymania wymaganego poziomu bezpieczeństwa danych osobowych, na każdym etapie ich przetwarzania
Założeniami polityki bezpieczeństwa są zapewnienie ochrony danych osobowych przed wszelkiego rodzaju zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi, nieświadomymi, bądź świadomymi, a w szczególności:
- dopełnienie wymogów wynikających z powszechnie obowiązujących przepisów w zakresie ochrony danych osobowych,
- zabezpieczenie zasobów systemów informatycznych, infrastruktury technicznej, sprzętu oraz osprzętu przed kradzieżą, zniszczeniem lub uszkodzeniem,
- uniemożliwienie dostępu do informacji stanowiących dane osobowe, ulokowanych w systemach informatycznych zarządzanych przez ADO, osobom do tego nieuprawnionym,
- zapobieżenie zniszczeniu, uszkodzeniu, bądź nieuprawnionej zmianie danych osobowych przetwarzanych w sposób tradycyjny (papierowy) oraz elektroniczny,
- zabezpieczenie dokumentacji tradycyjnej, zawierającej dane osobowe przed ich kradzieżą lub kopiowaniem,
- zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych przez Usługodawcę.
Polityka bezpieczeństwa dotyczy zarówno danych osobowych przetwarzanych w sposób tradycyjny, jak również w systemach informatycznych. Procedury i reguły wskazane w polityce bezpieczeństwa stosowane są przez wszystkie osoby upoważnione do przetwarzania danych osobowych, zarówno zatrudnionych na podstawie umowy o pracę, jak i innego tytułu (np. osób świadczących pracę na podstawie umowy cywilnoprawnej, stażystów, praktykantów).
Założenia ochrony danych osobowych są realizowane w szczególności przez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe oraz aplikacje.
Zgodnie z przepisami regulującymi ochronę danych osobowych, przetwarzanie danych osobowych może mieć miejsce, gdy:
W sytuacji, gdy przesłanką legalnego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą warunkiem jej skuteczności jest dobrowolność oraz świadomość jej złożenia. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być ona w każdym czasie odwołana. Wzór zgody przedstawia załącznik nr 1 do Polityki bezpieczeństwa.
W przypadku zaistnienia przesłanek wskazanych w pkt. 1) pkt b – e Usługodawca nie musi występować o zgodę na przetwarzanie danych osobowych.
Szczegółowe zasady dotyczące warunków legalnego przetwarzania danych osobowych oraz praw i obowiązków związanych z ich przetwarzaniem zarówno administratora danych, jak i osoby, której dane dotyczą, w szczególności prawa do dobrowolnego podania danych osobowych, ich modyfikacji oraz sprzeciwu wobec ich przetwarzania określa ustawa z dnia 29 sierpnia 1997 roku. .
Administrator Danych Osobowych zobowiązany jest stosować się do unormowań prawnych w przedmiotowym obszarze.
Usługodawca zbiera dane osobowe od osoby, której dane dotyczą.
Przystępując do zbierania danych osobowych Usługodawca jest zobowiązany poinformować osobę od której dane pochodzą o:
Obowiązek informacyjny wypełniany jest w chwili zbierania danych. Nie ma znaczenia sposób zbierania danych: za pomocą platformy rekrutacyjnej, pisemny, telefoniczny, czy też w kontaktach bezpośrednich.
W przypadku zbierania danych nie od osoby, której one dotyczą administrator danych obowiązany jest poinformować tę osobę dodatkowo o źródle, z którego pozyskane są dane oraz prawie do wniesienia żądania zaprzestania przetwarzania danych, sprzeciwu wobec ich przetwarzania lub przekazywania ich innemu administratorowi.
Obowiązku informacyjnego nie wypełnia się jeśli:
Informacje stanowiące dane osobowe mogą być przekazywane przez ADO, ewentualnie przez umocowanych do tego typu czynności pracowników, wyłącznie w oparciu o przepisy prawa powszechnego i osobom, których te dane dotyczą, chyba że osoby te wyrażą zgodę na przekazywanie danych ich dotyczących wskazanym przez siebie osobom lub podmiotom.
Usługodawca, jako Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej w oparciu o art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.
Do umów zawieranych z podmiotami zewnętrznymi, przy realizacji których istnieje prawdopodobieństwo dostępu do pomieszczeń lub informacji i danych podlegających ochronie powinny zostać włączone klauzule:
ADO zobowiązany są do prowadzenia rejestru umów powierzenia. Podmiot, któremu powierzono przetwarzanie danych osobowych może przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie, ponosi również odpowiedzialność za zachowanie wszelkich wymogów wynikających z przepisów prawa w zakresie ochrony danych osobowych, w szczególności zastosowanie wymogów technicznych i organizacyjnych do zabezpieczenia przedmiotowych danych.
Każdej osobie, której dane są przetwarzane, przysługuje prawo do kontroli przetwarzania tych danych, a w szczególności prawo wglądu do treści danych osobowych oraz:
Udostępnienie informacji, o których mowa powyżej odbywa się na wniosek zainteresowanej osoby, nie częściej niż raz na 6 miesięcy. Fakt udostępnienia informacji należy odnotować w systemie, w którym przetwarzane są dane podlegające udostępnieniu, a w przypadku braku takiej możliwości w ewidencji udostępniania danych osobowych, której wzór wprowadza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.
Administrator Danych Osobowych, na zgłoszony wniosek zainteresowanego, zobowiązany jest, w terminie 30 dni, poinformować zainteresowaną osobę o przysługujących jej prawach oraz udzielić informacji, o których udostępnienie zainteresowana osoba wnioskuje.
Uzupełnienie, uaktualnienie, sprostowanie, czasowe lub stałe wstrzymanie przetwarzania danych osobowych następuje, na wniosek zainteresowanej osoby, gdy dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane niezgodnie z obowiązującymi przepisami. Do celów dowodowych wymagana jest pisemna forma wniosku.
Po złożeniu przez zainteresowaną osobę wniosku, o którym mowa w pkt 4), Administrator Danych Osobowych zobowiązany jest bezzwłocznie do dokonania stosownych czynności w celu uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania jej danych, chyba że do odmiennego postępowania uprawniają go obowiązujące przepisy prawa.
Osoba, której dane są przetwarzane, ma prawo do wniesienia pisemnego sprzeciwu wobec przetwarzania jej danych dla celów marketingowych lub przekazania ich innemu administratorowi, w przypadkach przewidzianych przepisami Ustawy o ochronie danych osobowych.
W przypadku wniesienia sprzeciwu, należy bezzwłocznie zaprzestać przetwarzania kwestionowanych danych. W celu uniknięcia ponownego wykorzystania danych osobowych osoby,, w celach objętych sprzeciwem w zbiorze pozostawia się jej imię i nazwisko, numer PESEL lub adres, chyba że system informatyczny wykorzystywany przez Usługodawcę nie zezwala na pozostawienie tych danych.
W przypadku przesyłania przez Usługodawcę dokumentów elektronicznych z danymi osobowymi przy użyciu sieci Internet, należy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, tj. strony szyfrowane, indywidualne katalogi wymiany.
Systemy informatyczne służące do przesyłania danych oraz generowania plików przeznaczonych do wysłania powinny posiadać uaktywnione mechanizmy kontroli dostępu w postaci loginu i hasła.
Dane osobowe należy przesyłać w formie niejawnej i umożliwiającej ich uwierzytelnienie, np. poprzez spakowanie z hasłem lub szyfrowane kanały. W przypadku, gdy elektroniczne przesyłanie danych osobowych, do podmiotów zewnętrznych uprawnionych do ich otrzymania na mocy przepisów prawa, stanowi udostępnianie tych danych, należy przedmiotowy fakt odnotować w systemie lub zaewidencjonować w Ewidencji udostępniania danych osobowych.
WZÓR:
Administrator danych osobowych jest jedyną osobą upoważnioną do przetwarzania wszystkich danych zawartych w systemie informatycznym oraz danych w formie papierowej. Dostęp do danych w systemie informatycznym odbywa się poprzez (np. Internet oraz przenośny komputer)
Powyższa zasada wyłączności osoby ADO znajduje odstępstwo w przypadku przedłużającej się nieobecności ADO, co szerzej zostało opisane i przedstawione w Instrukcji zarządzania systemem informatycznym.
ADO wykonuje swoje czynności w wyznaczonym do tego lokalu, znajdującym się przy ul. Wrocławska 25A, 63-400 Ostrów Wielkopolski. W powołanym lokalu zastosowano następujące sposoby zabezpieczenia: (np. wejście do lokalu zabezpieczone jest drzwiami zamykanymi na klucz, jednym zamkiem patentowymi, alarmem i umową z agencją ochroniarską, nieruchomość jest stróżowana 24h na dobę. gdzie ADO oraz osoby wskazane w załączniku nr …. do Instrukcji zarządzania systemem informatycznym są jedynymi osobami posiadającymi dostęp do tego pomieszczenia.). Lokal wyposażony jest w gaśnicę. W pomieszczeniu tym znajdują się dokumenty zawierające dane osobowe, w formie papierowej. W tym pomieszczeniu ADO i osoby przez niego upoważnione, wskazane w załączniku nr ……… do instrukcji zarządzania systemem informatycznym, korzystając z komputera przenośnego i stacjonarnego łączą się z systemem informatycznym i wykonują swoje czynności, co składa się na przetwarzanie danych osobowych. Nie dokonuje się przetwarzania danych osobowych w jakimkolwiek zakresie, poza wskazanym pomieszczeniem. Sprzęt przy pomocy, którego przetwarzane są dane nie opuszcza tego pomieszczenia, po zakończeniu pracy chowany jest w zamykanej na klucz szafie.
Jeżeli występują inne miejsca należy je wskazać wraz ze wskazaniem zakresu przetwarzania danych osobowych i podstawy stosunku, z którego powierzenie przetwarzania wynika i miejsce (dokładny adres).
W ramach działalności systemu, będzie wykonywany jeden rodzaj kopii zapasowej danych w postaci wirtualnej, tj. w postaci plików na serwerze. Postępowanie w tym zakresie szczegółowo opisano w Instrukcji Zarządzania Systemem Informatycznym.
WZÓR:
W ramach prowadzonej przez Usługodawcę działalności gospodarczej, Usługodawca świadczy na rzecz Klientów usługę polegającą na
7.1. Zabezpieczenie danych osobowych przed osobami nieupoważnionymi.
1) Przetwarzania danych osobowych należy dokonywać w warunkach zabezpieczających te dane przed osobami nieupoważnionymi;
2) Pomieszczenia, w których przetwarzane są dane osobowe tworzące obszar szczególnie chroniony zabezpieczone są na czas nieobecności osób zatrudnionych przy przetwarzaniu danych osobowych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, tj. poprzez zabezpieczenia techniczne, fizyczne i ochronę fizyczną;
3) Uzasadnione względami służbowymi przebywanie w tych pomieszczeniach osób nieuprawnionych do dostępu do danych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
4) Pracownicy przetwarzający dane osobowe obowiązani są do prawidłowego zabezpieczania urządzeń i danych na swoich stanowiskach pracy;
5) Dostęp do kluczy do pomieszczeń stanowiących obszar przetwarzania danych osobowych posiadają wyłącznie osoby uprawnione przez ADO do wstępu do tych pomieszczeń. Osoby uprawnione posiadają klucze do tych pomieszczeń;
6) Wszelkie urządzenia i nośniki zawierające dane osobowe, takie jak serwery, komputery główne, urządzenia teletransmisyjne, szafy z nośnikami magnetycznymi zawierające kopie danych powinny być usytuowane w pomieszczeniach uniemożliwiających dostęp do nich osób nieupoważnionych;
7) Wyłączniki oraz zabezpieczenia zasilania elektrycznego, w już użytkowanych obiektach, powinny być zabezpieczone przed dostępem osób nieupoważnionych;
8) Dostęp do pomieszczeń, w których odbywa się przetwarzanie danych osobowych winien być ściśle kontrolowany poprzez stosowane zabezpieczenia organizacyjne i mechaniczne oraz zainstalowane systemy alarmowe;
9) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;
10) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem;
11) W przypadku zastosowania zabezpieczeń logicznych obejmują one:
12) Administrator danych obowiązany jest do zabezpieczenia wykorzystywanych do przetwarzania danych osobowych urządzeń, dysków lub innych elektronicznych nośników informacji. Uregulowania określające rodzaj zastosowanych zabezpieczeń nośników znajdują się w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. 13) System informatyczny służący do przetwarzania danych osobowych – z wyjątkiem systemu służącego do przetwarzania danych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – powinien zapewniać, aby możliwe było w tym systemie odnotowanie:
14) W przypadku wykorzystywania do przetwarzania danych osobowych komputerów przenośnych jego użytkownik zobowiązany jest do zachowania szczególnej ostrożności podczas jego transportu, przechowywania i używania poza wyznaczonym przez ADO obszarem przetwarzania danych osobowych, w tym stosowania środków ochrony kryptograficznej wobec przetwarzanych danych. Użytkownik komputera przenośnego odpowiada za powierzone mu urządzenie oraz wszelkie operacje wykonywane przy jego użyciu;
15) Komputery przenośne, wykorzystywane do przetwarzania danych osobowych, po zakończonej pracy, winny być przechowywane w warunkach zapewniających ich bezpieczeństwo. Za właściwe zabezpieczenie przedmiotowych urządzeń odpowiedzialni są ich użytkownicy;
16) Lokalizacja urządzeń komputerowych (komputerów typu PC, terminali, drukarek) powinna uniemożliwiać dostęp do nich osób nieuprawnionych oraz wgląd do danych wyświetlanych na monitorach komputerowych;
17) W przypadku oddalenia się pracownika od stanowiska pracy należy pozostawić system w takim stanie, aby osoby nieupoważnione nie miały do niego dostępu. W tym celu konieczne jest zablokowanie komputera (jeżeli istnieją takie możliwości techniczne) oraz stosowanie chronionych hasłem wygaszaczy ekranu z odpowiednim (tj. nie dłuższym niż 10 minut) czasem nieaktywności do ich uruchomienia;
18) Wszystkie prace remontowe, konserwacyjne, naprawcze, a także porządkowe odbywają się w oparciu o zawarte umowy oraz są nadzorowane przez ADO, który uczestniczy podczas ich przeprowadzania;
19) W przypadku naprawy sprzętu komputerowego dane należy zabezpieczyć, natomiast w przypadku naprawy sprzętu poza obszarem przetwarzania danych osobowych, po zabezpieczeniu danych – należy je trwale usunąć z dysku. Gdy nie ma możliwości usunięcia danych naprawa powinna być nadzorowana przez ADO i dokonywana w jego obecności;
20) Szczególnemu nadzorowi podlegają urządzenia umożliwiające tworzenie i przenoszenie dużych ilości danych, w tym nagrywarki DVD oraz nośniki typu pendrive, a także nośniki komputerowe zawierające dane osobowe. Do ich ochrony i zabezpieczenia zobowiązani są wszyscy ich użytkownicy;
21) W przypadku uszkodzenia nośników komputerowych, o których mowa w pkt 20), użytkownicy zobowiązani są do ich trwałego zniszczenia lub przekazania do ADO, w celu zniszczenia;
22) Uszkodzone nośniki komputerowe (w tym dyski twarde), zawierające dane osobowe, powinny być fizycznie niszczone w sposób uniemożliwiający dostęp do danych osób niepowołanych. Do czasu zniszczenia nośniki komputerowe powinny być zabezpieczone przed dostępem osób nieupoważnionych;
23) Dopuszcza się ponowne wykorzystanie urządzeń i nośników komputerowych zawierających dane osobowe;
24) Urządzenia i nośniki komputerowe zawierające dane osobowe, przeznaczone do ponownego wykorzystania lub przekazania innemu podmiotowi należy - przed ich wykorzystaniem lub przekazaniem - pozbawić zapisu w sposób gwarantujący trwałe usunięcie danych (za pomocą specjalistycznego oprogramowania);
25) Unormowania dotyczące obszaru szczególnie chronionego oraz zasad zabezpieczenia danych osobowych przed osobami nieupoważnionymi stosuje się analogicznie w odniesieniu do informacji podlegających ochronie, za wyjątkiem informacji niejawnych, których zasady ochrony normowane są odrębnie.
7.2. Kontrola dostępu do danych:
1) System informatyczny przetwarzający dane powinien być wyposażony w mechanizmy uwierzytelniania użytkowników oraz kontroli dostępu do danych;
2) Wszystkie mechanizmy, o których mowa w pkt 1), winny być uaktywnione;
3) Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, a także do obsługi kartotek i dokumentów zawierających dane osobowe przetwarzanych w formie papierowej mogą zostać dopuszczone wyłącznie osoby posiadające upoważnienie ADO;
4) Dostęp do danych przyznaje się w oparciu o rolę jaką dana osoba pełni w związku z realizacją czynności wykonywanych w ramach zakresu obowiązków oraz poleceń przełożonego;
5) Dopuszcza się możliwość dostępu do danych przez podmioty zewnętrzne w przypadku zaistnienia okoliczności wynikających z obowiązujących przepisów prawa oraz zawartych umów. W odniesieniu do osób nie będących pracownikami Usługodawcy zasady ochrony i dostępu do danych są określone w odrębnych umowach, zaś nadzór nad przestrzeganiem wszelkich przepisów prawnych i uregulowań z zakresu ochrony danych spoczywa na właścicielu lub organie decyzyjnym podmiotu współpracującego;
6) Czas dostępu użytkownika do poszczególnych danych określony jest czasem wykonania zadania wynikającego z pełnionej roli;
7) Szczegółowy opis procesu zarządzania uprawnieniami do dostępu do danych osobowych i obsługi systemu informatycznego oraz nadawania, modyfikacji i anulowania uprawnień użytkowników realizowane są według zasad określonych w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych;
8) Usługodawca jako ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych podlegającą aktualizacji w związku z nadawaniem, modyfikowaniem i anulowaniem uprawnień użytkowników. Sposób prowadzenia ewidencji określa Instrukcja, o której mowa w pkt 7);
9) Osoby, które zostały upoważnione do przetwarzania danych osobowych obowiązane są do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia;
10) System informatyczny musi zapewniać autoryzację i rozliczalność operacji. Każde działanie w systemie informatycznym powinno być jednoznacznie przypisane do unikalnego identyfikatora;
11) Dostęp do danych w systemie informatycznym powinien być kontrolowany. Jest on możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Identyfikator przydzielany jest użytkownikowi na stałe. Uwierzytelnienie użytkownika następuje za pomocą indywidualnego hasła. Szczegółowe zasady w zakresie metod i środków uwierzytelniania oraz sposobu zarządzania hasłami do systemów informatycznych i wymagań dotyczących haseł określone są w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych;
12) System informatyczny powinien posiadać możliwość kontroli złożoności i długości haseł; 13) Przed uruchomieniem komputera na stanowisku pracy każdy użytkownik powinien dokonać przeglądu i sprawdzenia urządzeń komputerowych pod kątem ujawnienia okoliczności wskazujących na naruszenie dostępu do tych urządzeń lub danych zawartych na nich;
14) Praca w systemie informatycznym powinna być inicjowana właściwą dla danego systemu procedurą „login”, która wymaga podania identyfikatora i hasła;
15) Jeśli istnieją możliwości techniczne, system informatyczny powinien wymuszać skończoną liczbę prób logowania, nie większą niż trzy;
16) Użytkownik opuszczając stanowisko pracy winien zwrócić szczególną uwagę na uniemożliwienie wykorzystywania systemu komputerowego przez osoby nieupoważnione, w szczególności na włączenie opcji wygaszacza ekranu po upływie ustalonego czasu nieaktywności użytkownika. Zaleca się ręczne blokowanie komputera przez użytkownika;
17) W przypadku zakończenia pracy, każdy użytkownik zobowiązany jest do:
7.3. Archiwizacja danych osobowych:
1) Wszystkie bazy danych osobowych przetwarzane przez Usługodawcę podlegają zabezpieczeniu i archiwizowaniu;
2) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych baz danych oraz programów służących do przetwarzania danych;
3) Dostęp do kopii powinien być kontrolowany, przetwarzanie kopii archiwalnych powinno zapewniać ich poufność, integralność (stopień w zależności od krytyczności danych) oraz dostępność (w stopniu zdefiniowanym przez właściciela);
4) Szczegółowe unormowania dotyczące tworzenia, przechowywania i usuwania kopii określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.
7.4. Zabezpieczenie danych osobowych zapisanych w formie papierowej:
1) Za bezpieczeństwo danych osobowych zapisanych w formie papierowej odpowiedzialny jest ADO;
2) Wszystkie dane osobowe, o których mowa w pkt 1, powinny być zabezpieczone przed osobami nieupoważnionymi oraz przechowywane w urządzeniach gwarantujących dostęp do nich wyłącznie uprawnionych pracowników, tj. przynajmniej w pomieszczeniach zamykanych na klucz zabezpieczonych monitorowanym systemem alarmowym, z zastosowaniem dodatkowego zabezpieczenia w postaci szafy drewnianej zamykanej na klucz lub szafy metalowej – w odniesieniu do szczególnie istotnych dla działalności Usługodawcy;
3) Wszelkie dokumenty i wydruki zawierające dane osobowe przeznaczone do usunięcia należy niszczyć w stopniu uniemożliwiającym ich odczytanie (przy użyciu niszczarki). Dopuszcza się możliwość niszczenia dokumentów zawierających dane osobowe przez specjalistyczne firmy zewnętrzne. Warunkiem skorzystania z usług tego typu firm jest zawarcie umowy cywilnoprawnej, w której należy zawrzeć klauzule zobowiązujące firmę do zapewnienia stanu poufności informacji uzyskanych w toku realizacji umowy oraz określić kwestie związane z przekazaniem dokumentów do zniszczenia, sposobem zniszczenia oraz potwierdzenia tego faktu w postaci protokołów i certyfikatów.
7.5. Ochrona systemu przed wirusami
W celu ochrony danych osobowych przetwarzanych w systemach informatycznych przed szkodliwym oprogramowaniem należy stosować zabezpieczenia techniczne minimalizujące ryzyko utraty lub uszkodzenia danych.
Sposób postępowania i ochrony zasobów informatycznych przed wirusami normuje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.
Centrum Identyfikacji Genetycznej
