Sicherheitsrichtlinie

  • SICHERHEITSPOLITIK ZUR VERARBEITUNG PERSONENBEZOGENER DATEN UND ANWEISUNGEN ZUR VERWALTUNG VON IT-SYSTEMVERARBEITUNG PERSÖNLICHER DATEN

    EINLEITUNG


    Zum Zweck der Ausführung der Bestimmungen des Gesetzes vom 29. August 1997 über den Schutz personenbezogener Daten (Dz. U. [Gesetzblatt] 1997 Nr. 133, Pos. 883 in der geltenden Fassung) und der Bestimmungen der auf die Ermächtigung durch das Gesetz gestützten Verordnung des Ministers für innere Angelegenheiten und Verwaltung vom 29. April 2004 (Dz. U. 2004 Nr. 100 Pos. 1024 in der geltenden Fassung) über die Dokumentation der Verarbeitung personenbezogener Daten und die technischen und organisatorischen Bedingungen, die von den zur Verarbeitung personenbezogener Daten verwendeten Informationsgeräten und -systemen zu erfüllen sind, wird eine Reihe von Regeln und praktischen Erklärungen eingeführt, die die Verwaltung, den Schutz und die Verbreitung sensibler Daten regeln, um den Schutz personenbezogener Daten zu gewährleisten.


    Abschnitt 1

    Allgemeine Bestimmungen


    Wenn in diesem Dokument folgende Ausdrücke gebraucht werden, haben sie folgende Bedeutungen:

    1. Verantwortlicher - bedeutet die Firma Biomol-Med Spółka z ograniczoną odpowiedzialnością
    2. Datenschutzbeauftragter - bedeutet: Emilia Wojdon
    3. Verarbeitungsbereich -bedeutet die Gebäude, Räume oder Teile von Räumen, in denen personenbezogene
    4. Daten verarbeitet werden. Datei mit personenbezogenen Daten - bedeutet jede strukturierte Zusammenstellung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig von ihrer Verteilung oder Aufteilung.
    5. Beschreibung der Dateistruktur - bedeutet die Beschreibung der Sammlungen von personenbezogenen Daten, die den Inhalt der einzelnen Informationsfelder und die Verknüpfungen zwischen ihnen angibt.
    6. Beschreibung des Datenflusses - bedeutet die Beschreibung des Datenflusses zwischen den Sammlungen.
    7. Technische und organisatorische Maßnahmen - bedeutet die technischen und organisatorischen Maßnahmen, die zur Gewährleistung der Vertraulichkeit, Integrität und Zurechenbarkeit der verarbeiteten Daten erforderlich sind.
    8. Sicherheitsverfahren - bedeutet Verfahren zum Schutz der verarbeiteten personenbezogenen Daten.


    Kapitel 2
    Verantwortlicher


    § 1.


    Um den Schutz personenbezogener Daten zu gewährleisten, hat der Verantwortliche einen Datenschutzbeauftragten ernannt.


    § 2.


    Der Verantwortliche hat insbesondere Folgendes zu tun:

    1. Entwicklung und Umsetzung einer Sicherheitsrichtlinie für die Verarbeitung personenbezogener Daten und einer Anleitung zur Verwaltung des IT-Systems, das personenbezogene Daten verarbeitet.
    2. Erteilung und Widerruf der Ermächtigung zur Verarbeitung personenbezogener Daten an Personen, die diese Daten verarbeiten sollen.
    3. Führung von Aufzeichnungen über Personen, die ermächtigt sind, personenbezogene Daten zu verarbeiten.
    4. Führung von Aufzeichnungen über Dateien mit personenbezogenen Daten, einschließlich einer Beschreibung der zu ihrer Verarbeitung verwendeten Software, der Art des.
    5. Datenflusses zwischen den Systemen und einer Beschreibung der angewandten Sicherheitsmaßnahmen.
    6. Erstellung einer Beschreibung der Dateistrukturen zusammen mit einer Beschreibung der Informationsfelder und der Verknüpfungen zwischen ihnen.
    7. Führung einer Evidenz der Einwilligungserklärungen zur Verarbeitung personenbezogener Daten von Betroffenen.
    8. Meldung der zu registrierenden Dateien bei der Datenschutzbehörde.


    § 3.


    Zweck der Datenverarbeitung

    Der Verantwortliche ist sehr bemüht, personenbezogene Daten nur in dem Umfang zu verarbeiten, wie es für den Zweck, für den sie verarbeitet werden, unerlässlich ist, und er versucht, alle Verarbeitungsprozesse personenbezogener Daten zu minimieren. Der Verantwortliche verarbeitet fast immer personenbezogene Daten über Sie, wobei es sich um personenbezogene Daten wie die folgenden handelt: Vorname und Name/Firmenname, sowie Kontaktdaten: Wohnanschrift/Sitz, Korrespondenzadresse, Telefonnummer, E-mail-Adresse. Andere personenbezogene Daten werden in dem Umfang verarbeitet, der durch den konkreten Zweck der Verarbeitung vorgegeben ist, über den Sie vor dem Kauf von Dienstleistungen im Zusammenhang mit der Erhebung Ihrer personenbezogenen Daten informiert werden.


    Kapitel 3
    Technische und organisatorische Maßnahmen


    § 4.


    Zum Schutz personenbezogener Daten werden folgende organisatorische Maßnahmen angewandt:

    1. Es wurde eine Sicherheitsrichtlinie für die Verarbeitung personenbezogener Daten sowie eine Anleitung zur Verwaltung des IT-Systems, das personenbezogene Daten verarbeitet, entwickelt und implementiert.
    2. Zur Verarbeitung personenbezogener Daten werden nur Personen, die über eine gültige Ermächtigung zu ihrer Verarbeitung verfügen, zugelassen.
    3. Es wird ein Nachweis der Personen, über eine gültige Ermächtigung zur Verarbeitung personenbezogener Daten verfügen, geführt.
    4. Die ermächtigten Personen wurden im Bereich des Schutzes personenbezogener Daten und der Sicherheit des IT-Systems geschult.
    5. Die ermächtigten Personen haben eine Erklärung zur Wahrung der Vertraulichkeit der verarbeiteten personenbezogenen Daten abgegeben.
    6. Die Verarbeitung personenbezogener Daten wird unter Bedingungen durchgeführt, die personenbezogene Daten vor unbefugtem Zugriff schützen.
    7. Die Anwesenheit von Unbefugten im Verarbeitungsbereich ist nur in Anwesenheit von ermächtigten Personen und unter Bedingungen, die die Sicherheit der personenbezogener Daten gewährleisten, möglich.


    § 5.


    Zum Schutz personenbezogener Daten werden folgende physische Sicherungsmaßnahmen angewandt:

    1. Die Türen zu den Räumen, die den Verarbeitungsbereich bilden, sind abschließbar.
    2. Der Verarbeitungsbereich ist von den anderen Räumen durch eine Tür mit Nummernblock und Elektromagnet getrennt, so dass Personen, die den Zugangscode nicht kennen, ihn nicht betreten können.
    3. Personenbezogene Daten in Papierform werden in abschließbaren Möbeln aufbewahrt.
    4. Im Verarbeitungsbereich stehen Aktenvernichter und Datenträger-Vernichter zur Verfügung.
    5. Schlüssel, Zugangscodes oder andere Sicherheitsmerkmale für die Verarbeitungsbereiche werden von ermächtigten Personen gegen Empfangsbescheinigung ausgegeben und ausgehändigt.


    § 6.


    Zum Schutz personenbezogener Daten werden die folgenden Sicherheitsmaßnahmen für die Geräte der IT- und Telekommunikationsinfrastruktur angewendet:

    1. Für die Server und/oder die Computer, auf denen personenbezogene Daten verarbeitet werden, wird eine unterbrechungsfreie Stromversorgung verwendet.
    2. Der Zugang zu den Rechnern, auf denen sich personenbezogene Daten befinden, erfolgt durch Eingabe von Login und Passwort.
    3. Der Fernzugriff auf personenbezogene Daten über das Internet erfolgt über eine verschlüsselte SSL- oder VPN-Verbindung und erfordert die Eingabe von Login und Passwort.
    4. Auf Computern mit personenbezogenen Daten werden ein Virenschutzsystem und eine Firewall eingesetzt.


    Kapitel 4
    Verfahren zur Gewährleistung der Sicherheit personenbezogener Daten


    § 7.


    Verfahren zur Erteilung der Ermächtigung zur Verarbeitung personenbezogener Daten:

    1. Die Ermächtigung zur Verarbeitung personenbezogener Daten wird vom Datenschutzbeauftragten erteilt.
    2. Vor der Erteilung der Ermächtigung zur Verarbeitung personenbezogener Daten wird eine Person im Bereich des Schutzes personenbezogener Daten geschult und mit den Grundsätzen der IT-Systemsicherheit vertraut gemacht.
    3. Eine zur Verarbeitung personenbezogener Daten ermächtigte Person hat eine Vertraulichkeitserklärung über die personenbezogenen Daten, zu denen sie Zugang hat, unterzeichnet.


    § 8.


    Methoden und Maßnahmen zur Sicherung des Zugangs zu personenbezogenen Daten:

    1. Passwörter für den Zugriff auf persönliche Daten dürfen keine allgemein bekannten Eigennamen sein.
    2. Eine ermächtigte Person verpflichtet sich, das Passwort für den Zugang zu personenbezogenen Daten vertraulich zu behandeln und im Falle des Bekanntwerdens unverzüglich zu ändern.
    3. Es ist verboten, das Passwort offen aufzubewahren oder an andere Personen weiterzugeben.
    4. Das Passwort wird von den ermächtigten Personen halbautomatisch oder manuell alle 30 Tage geändert.
    5. Ein Passwort muss mindestens 8 Zeichen lang sein und Groß- und Kleinbuchstaben sowie Zahlen oder Sonderzeichen enthalten.


    § 9.


    Verfahren zur Aufnahme, Unterbrechung und Beendigung von Arbeiten, die die Verarbeitung personenbezogener Daten erfordern:

    1. Die ermächtigte Person meldet sich mit ihrem Login und Passwort am System oder Programm an.
    2. Die ermächtigte Person ist verpflichtet, den Datenschutzbeauftragten über unberechtigte Versuche, sich in das System oder das Programm einzuloggen, zu informieren, sofern das System oder das Programm solche Phänomene überwacht.
    3. Die ermächtigte Person ist verpflichtet, Unbefugten den Einblick in die auf dem Bildschirm angezeigten oder in Papierversion vorliegenden personenbezogenen Daten unmöglich zu machen.
    4. Die zur Verarbeitung personenbezogener Daten ermächtigte Person ist verpflichtet, beim vorübergehenden Verlassen ihres Arbeitsplatzes einen passwortgeschützten Bildschirmschoner zu starten oder sich vom System abzumelden und Ausdrucke personenbezogener Daten vom Schreibtisch zu entfernen.
    5. Nach Beendigung der Arbeit ist die ermächtigte Person verpflichtet, sich vom Computer abzumelden oder ihn auszuschalten und alle Medien, die personenbezogene Daten enthalten, vom Schreibtisch zu entfernen sowie den Raum vor Einbruch, Wasserschaden, Feuer etc. zu schützen.


    § 10.


    Verfahren zur Herstellung von Sicherungskopien:

    1. Je nach der quantitativen Zunahme und der Zunahme des Umfangs der personenbezogenen Daten werden in Abständen von nicht mehr als einem Tag und nicht weniger als einem Monat Sicherungskopien erstellt.
    2. Sicherungskopien personenbezogener Daten in elektronischer Form können auf einem externen Datenträger gespeichert werden, der entsprechend den organisatorischen Sicherheitsmaßnahmen gesichert ist.
    3. Die Person, die die Sicherungskopien anfertigt, ist verpflichtet, diese zu kennzeichnen und die Integrität der Daten und ihre Wiederherstellbarkeit zu überprüfen.
    4. Sicherungskopien werden mindestens 1 Jahr und höchstens 5 Jahre aufbewahrt.
    5. Nach Ablauf der Aufbewahrungsfrist werden die Sicherungskopien dauerhaft vernichtet oder anonymisiert.


    § 11.


    Verfahren zur Aufbewahrung von Trägern personenbezogener Daten in Papier- und elektronischer Form:

    1. Die ermächtigten Personen sind verpflichtet, personenbezogene Daten nach Beendigung des Zwecks, zu dem sie verarbeitet wurden, dauerhaft zu vernichten/zu löschen.
    2. Es ist verboten, personenbezogene Daten ohne Einwilligung des Datenschutzbeauftragten und ohne die Sicherstellung mindestens der gleichen Bedingungen für die Sicherheit der Verarbeitung personenbezogener Daten, wie sie im Verarbeitungsbereich gelten, außerhalb des Verarbeitungsbereichs zu bringen.
    3. Personenbezogene Daten, die auf elektronischem Weg außerhalb des Verarbeitungsbereichs übermittelt werden, müssen passwortgeschützt sein.
    4. Es ist verboten, Datenträger mit personenbezogenen Daten Dritten zum Zwecke der Reparatur, als Geschenk etc. zu übermitteln.
    5. Träger personenbezogener Daten wie z.B.

    a. Laptop/Nettop
    b. Handy/Smartphone
    c. USB-Stick/Speicherkarte
    d. Externe Festplatte
    e. CD/DVD/BluRay-Diskette
    f. Papierausdrucke
    werden so gelagert, dass sie für Unbefugte nicht zugänglich und vor Beschädigungen, z.B. durch Wasserschaden, Brand, Schmelzen etc. geschützt sind.


    § 12.


    Verfahren zur Eingabe und zur Zugänglichmachung personenbezogener Daten an Dritte:

    1. Jede Einführung oder Zugänglichmachung personenbezogener Daten muss in Übereinstimmung mit dem Gesetz und seinen Durchführungsbestimmungen sowie mit diesem Dokument erfolgen und eine Rechtsgrundlage haben.
    2. Es wird ein Nachweis der eingegebenen und der zugänglich gemachten Daten geführt, aus dem insbesondere hervorgeht:

    a. Das Datum der Eingabe,
    b. Bezeichnung der ermächtigten Person, die die Daten eingibt
    c. Datum der Zugänglichmachung
    d. Subjekt, dem die Daten zugänglich gemacht wurden
    e. Umfang der zugänglich gemachten oder eingegebenen Daten
    f. Grundlage der Zugänglichmachung oder der Eingabe


    § 13.


    Kontrollverfahren und Schulung der Mitarbeiter:

    1. Die Einhaltung der geltenden Vorschriften zum Schutz personenbezogener Daten wird einmal jährlich überprüft.
    2. Über die Überprüfung wird ein Protokoll erstellt, das als Grundlage für die Aktualisierung der Verfahren und dieses Dokuments dient.
    3. Einmal im Jahr wird eine Schulung der Mitarbeiter durchgeführt, um ihre Fähigkeiten im Bereich des Schutzes personenbezogener Daten auf den neuesten Stand zu bringen.
    4. Jeder Mitarbeiter wird individuell geschult, bevor er die Ermächtigung erhält.
    5. Jede Reparatur oder Wartung von Computeranlagen, die personenbezogene Daten enthalten, oder von Räumlichkeiten, die den Verarbeitungsbereich bilden, darf nur unter Aufsicht von ermächtigten Personen durchgeführt werden.


    § 14.


    Der Datenschutzbeauftragte meldet eine Datei mit personenbezogenen Daten, die der Meldepflicht unterliegen, sowie die Löschung einer Datei nach Beendigung ihrer Verarbeitung an die Datenschutzbehörde.


    Kapitel 5
    Schlussbestimmungen


    § 15.


    Alle in diesem Dokument beschriebenen Verfahren und Regeln sind von den Personen zu befolgen, die befugt sind, personenbezogene Daten zu verarbeiten, wobei besonderes Augenmerk auf das Wohl der Personen, deren Daten betroffen sind, zu legen ist.


    § 16.


    Die Beauftragung eines anderen Unternehmens mit der Verarbeitung personenbezogener Daten kann nur durch eine schriftliche Vereinbarung unter der Voraussetzung erfolgen, dass dieses Unternehmen mindestens die gleichen Sicherheitsbedingungen für die Verarbeitung personenbezogener Daten erfüllt wie die Biomol-Med Spółka z ograniczoną odpowiedzialnością.

Ihr Warenkorb
Bestellen