Polityka Prywatności - Farby GALVI

Polityka Prywatności Sklepu FarbyGalvi.pl

Uprzejmie informujemy, że firma DIACO TECHNOLOGIA-PROJEKT Janusz Diaconescu, wpisanego w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającego adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Blacharska 26/7, 53-206 Wrocław, NIP: 6131389993, REGON: 021913721, (dalej:  „Administrator”) przetwarza Pana/Pani dane osobowe w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).

Punkt 1

Administratorem danych osobowych jest firma DIACO TECHNOLOGIA-PROJEKT Janusz Diaconescu, wpisanego w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającego adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Blacharska 26/7, 53-206 Wrocław, NIP: 6131389993, REGON: 021913721,

Punkt 2

z Administratorem można się kontaktować:

- pisemnie, na adres: DIACO TECHNOLOGIA-PROJEKT Janusz Diaconescu, ul. Blacharska 26/7, 53-206 Wrocław

- za pomocą poczty elektronicznej, na adres: sklep@farbygalvi.pl

Punkt 3

Administrator nie wyznaczył Inspektora Ochrony Danych,

Punkt 4

Pani/Pana dane osobowe mogą być przetwarzane w celu świadczenia usługi drogą elektroniczną, w szczególności utrzymania konta klienta w sklepie, a także zautomatyzowania i uproszczenia zawierania i wykonywania kolejnych umów sprzedaży, w tym uiszczania zapłaty za kupione towary i udzielania rabatów, dopasowania oferty reklamowej do potrzeb klientów i prezentacji reklam, wyrażenia publicznej opinii o zakupionych towarach,

Punkt 5

informujemy, że Administrator może przetwarzać następujące kategorie danych osobowych: preferencje zakupowe, informacja o lokalizacji, adres IP, adres poczty elektronicznej,

Punkt 6

podstawą prawną przetwarzania danych osobowych może być wyrażona przez Pana/Panią zgoda (art. 6 ust. 1 lit. a RODO), konieczność podjęcia działań na Pana/Pani żądanie osoby (art. 6 ust. 1 lit. b RODO) lub też cele związane z prawnie uzasadnionym interesem realizowanym przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO). Prawnie uzasadnionym interesem jest konieczność zagwarantowania dostępności serwisu internetowego, zwiększania funkcjonalności serwisu internetowego, polepszania jakości świadczonych usług, umożliwienie dopasowania oferty do potrzeb klientów, a także inne cele bezpośrednio związane z funkcjonowaniem serwisu internetowego, w szczególności badania statystyk odwiedzin serwisu internetowego,

Punkt 7

Odbiorcami Pana/Pani danych osobowych mogą być podmioty świadczące na rzecz Administratora usługi związane z utrzymaniem i funkcjonowaniem serwisu internetowego, badaniem statystyk odwiedzin serwisu, a także usługodawcy świadczący usługi reklamowe i marketingowe,

Punkt 8

Pana/Pani dane osobowe mogą być przekazywane do państw trzecich, tj. poza Europejski Obszar Gospodarczy (EOG) lub do organizacji międzynarodowych, jednak wyłącznie do podmiotów, które zapewniają odpowiednie zabezpieczenia oraz gwarantują prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. W szczególności obejmuje to korzystanie przez Administratora z usług świadczonych przez Google oraz Facebook, w takim zakresie, w jakim jest to niezbędne dla realizacji celów wskazanych w pkt 4,

Punkt 9

Pani/Pana dane osobowe będą przetwarzane przez Administratora przez okres niezbędny do realizacji celów wskazanych w pkt 4,

Punkt 10

Ma Pan/Pani prawo do:

-  żądania od Administratora dostępu do swoich danych osobowych,

-  żądania od Administratora sprostowania swoich danych osobowych,

-  żądania od Administratora usunięcia lub ograniczenia przetwarzania swoich danych osobowych,

-  wniesienia do Administratora sprzeciwu wobec przetwarzania danych osobowych w celu marketingu bezpośredniego,

- wniesienia do Administratora sprzeciwu wobec profilowania w zakresie, w jakim przetwarzanie jest związane z marketingiem bezpośrednim,

-  cofnięcia zgody na przetwarzanie swoich danych osobowych,

-  wniesienia skargi do organu nadzorczego

Punkt 11

Informujemy, że Pani/Pana dane osobowe są pozyskiwane w szczególności od usługodawców świadczących usługi związane z realizacją celów Administratora (np. Google Analytics), a także poprzez narzędzia i usługi dostarczane przez serwisy społecznościowe (np. Facebook). Część danych i informacji jest też pozyskiwana bezpośrednio poprzez analizę Pani/Pana aktywności w serwisie internetowym Administratora,

Punkt 12

Informujemy, że Pani/Pana dane osobowe mogą podlegać automatycznemu profilowaniu, w zakresie, w jakim jest to niezbędne do realizacji usług reklamowych i marketingowych oraz podjęcia decyzji o udzieleniu Pani/Panu rabatu sprzedażowego. W ramach profilowania analizowane mogą być przede wszystkim Pani/Pana wcześniejsze decyzje zakupowe, w oparciu o które będziemy podejmować próby dopasowania przyszłej oferty. 


Zabezpieczenie Przetwarzania Danych Osobowych Klientów i Odwiedzających Sklep FarbyGalvi.pl

Rozdział 1
Postanowienia ogólne

Obszar, w którym są przetwarzane dane, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych w obszarze, w którym są przetwarzane dane, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

Rozdział 2
Definicje

Ilekroć w Instrukcji jest mowa o:

1. Administratorze danych – rozumie się przez to Janusza Diaconesu, prowadzącego działalność gospodarczą pod firmą DIACO TECHNOLOGIA-PROJEKT Janusz Diaconescu, wpisanego w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającego adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Blacharska 26/7, 53-206 Wrocław, NIP: 6131389993, REGON: 021913721,

2. Administratorze systemu – rozumie się przez to Janusza Diaconesu, prowadzącego działalność gospodarczą pod firmą DIACO TECHNOLOGIA-PROJEKT Janusz Diaconescu, wpisanego w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, posiadającego adres miejsca głównego wykonywania działalności i adres do doręczeń: ul. Blacharska 26/7, 53-206 Wrocław, NIP: 6131389993, REGON: 021913721,

3. Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,

4. Elektronicznym nośniku – rozumie się przez to elektroniczne urządzenie, na którym przechowuje się dane osobowe w celu jego ponownego odtworzenia w systemie informatycznym,

5. Haśle — rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

6. Identyfikatorze użytkownika — rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,

7. Integralności danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

8. Odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania,,

9. Obszarze przetwarzania danych – należy przez to rozumieć wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

10. Opisie przepływu danych – należy przez to rozumieć opis sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi,

11. Opisie struktury zbiorów – należy przez to rozumieć opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

12. Państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego,

13. Poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,

14. Przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

15. Rozliczalności — rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

16. Sieci publicznej — rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. — Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.),

17. Sieci telekomunikacyjnej — rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. —Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.)

18. Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

19. Środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych,

20. Teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,

21. Ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.),

22. Usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

23. Użytkowniku systemu – rozumie się przez to osobę, której został przydzielony przez administratora systemu indywidualny identyfikator w systemie informatycznym w powiązaniu z niezbędnymi uprawnieniami dostępowymi w tym systemie,

24. Uwierzytelnianiu — rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,

25. Wykazie zbiorów – należy przez to rozumieć wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

26. Zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

27. Zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie,

28. Zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Rozdział 2
Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, zastosowano wysoki poziom bezpieczeństwa.

2. Osobą odpowiedzialną za nadawanie uprawnień w systemie informatycznym jest administrator danych.

3. Procedura nadawania, modyfikowania i odbierania uprawnień użytkownikowi w systemie informatycznym obejmuje w kolejności:

a) zapoznanie osoby z przepisami dotyczącymi ochrony danych osobowych oraz procedurami bezpieczeństwa systemu informatycznego,

b) nadanie upoważnienia do przetwarzania danych osobowych oraz odebranie oświadczenia o zachowaniu poufności danych osobowych i przestrzeganiu wewnętrznej dokumentacji ochrony danych osobowych,

c) zwrócenie się z wnioskiem do administratora systemu o nadanie uprawnień w systemie informatycznym w niezbędnym zakresie,

d) nadanie uprawnienia w systemie informatycznym w niezbędnym zakresie, po zweryfikowaniu przez administratora systemu treści upoważnienia do przetwarzania danych osobowych lub innej podstawy prawnej pozwalającej na przydzielenie uprawnień,

e) modyfikację i odbieranie uprawnień użytkownika w systemie informatycznym.

4. Procedura rejestrowania uprawnień użytkownika w systemie informatycznym jest przeprowadzana przez administratora tego systemu i obejmuje w kolejności:

a) przypisanie indywidualnego identyfikatora użytkownika w systemie informatycznym do konkretnej osoby, przy zapewnieniu, że identyfikator ten nie był wcześniej przydzielony innemu użytkownikowi, wraz z datą przyznania i odebrania uprawnień,

b) przypisanie zakresu przydzielonych uprawnień w systemie informatycznym do konkretnego identyfikatora użytkownika.

Rozdział 3
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

1. Czynności przetwarzania danych osobowych następują przy użyciu komputera przenośnego w siedzibie firmy oraz podczas pracy w domu (adres pracowni: ul. Grabiszyńska 279/6 Wrocław; adres domowy: ul. Blacharska 26/7 Wrocław).

2. W zakresie uwierzytelniania użytkownika w systemie informatycznym zastosowano identyfikator i hasło.

3. Hasło zastosowane do uwierzytelnienia użytkownika w systemie informatycznym składa się z określonej liczby znaków (co najmniej 8), w tym musi zawierać małe i duże litery oraz liczbę lub znak specjalny. Hasło jest zmieniane w cyklach nie dłuższych niż 30 dni.

4. Hasło nie może składać się z danych personalnych (tj. imion, nazwisk, adresów zamieszkania użytkownika, jak również najbliższych dla niego osób) lub ich fragmentów,

5. Hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury.

6. Hasło nie może być tożsame z identyfikatorem użytkownika.

7. Hasło musi być za każdym razem nowe, tzn. takie, które nie było poprzednio stosowane przez użytkownika.

8. Zmiana hasła dokonywana jest przez użytkownika manualnie.

9. Hasło zastosowane do uwierzytelnienia administratora systemu w systemie informatycznym składa się z określonej liczby znaków, w tym musi zawierać małe i duże litery oraz liczbę lub znak specjalny.

10. Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności.

11. W przypadku złamania zasady poufności hasła, użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie administratora danych.

12. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło.

13. Użytkownicy systemów informatycznych są zapoznawani z zagrożeniami wynikającymi ze stosowania haseł jako formy ich uwierzytelniania w systemie informatycznym.

14. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

15. Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.

16. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

17. Zastosowano środki ochrony systemu przed szkodliwym oprogramowaniem.

18. Użyto system Firewall do ochrony dostępu do sieci komputerowej.

19. Zastosowano kryptograficzne środki ochrony danych osobowych w sklepie internetowym.

20. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.

21. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.

22. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.

23. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

Rozdział 4
Procedury rozpoczęcia, zawieszenia i zakończenia pracy użytkowników systemu informatycznego

1. Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić administratora danych.

2. Przed rozpoczęciem pracy w systemie informatycznym użytkownik weryfikuje bezpieczeństwo treści wyświetlanych na ekranie ze względu na przebywanie osób nieupoważnionych w obszarze przetwarzania.

3. Niedozwolone jest wykonywanie jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika.

4. Przed przerwaniem pracy w systemie informatycznym i tymczasowym odejściem od punktu dostępowego systemu informatycznego użytkownik blokuje swój dostęp poprzez manualne uruchomienie wygaszacza ekranu chronionego hasłem.

5. Po zakończeniu pracy w systemie informatycznym użytkownik zamyka system informatyczny, do którego ma dostęp.

Rozdział 5
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

1. Kopie zapasowe powinny być kontrolowane przez administratora danych, w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym.

2. Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.

3. W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych.

4. Kopia dysku jest wykonywana raz w roku na dysk zewnętrzny przenośny.

5. Kopia plików systemowych i baz danych wykonywana jest co 24 godziny na serwerze hostingodawcy.

6. W systemie informatycznym zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

Rozdział 6
Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe

1. Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.

2. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być przemieszczane poza pomieszczenia stanowiące obszar przetwarzania danych osobowych.

3. W przypadku korzystania z elektronicznych nośników zawierających dane osobowe, w szczególności takich jak płyty CD/DVD/BR, pendrive’y, karty SD, zewnętrzne dyski, taśmy magnetyczne, są one przechowywane w sposób uniemożliwiający do nich dostęp osobom nieupoważnionym.

4. W celu usunięcia danych osobowych z elektronicznego nośnika danych użytkownicy stosują metodę trzykrotnego nadpisania pełnej zawartości nośnika danymi niezawierającymi danych osobowych.

5. W przypadku zużycia lub uszkodzenia elektronicznego nośnika zawierającego kopie zapasowe, w celu jego utylizacji uszkadza się go mechanicznie w taki sposób, aby odtworzenie danych było niemożliwe.

Rozdział 7
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

1. W systemie informatycznym zostało zainstalowane automatycznie aktualizujące się oprogramowanie antywirusowe.

2. Na styku sieci wewnętrznej z siecią publiczną zastosowano zaporę systemową w ramach programu antywirusowego WINDOWS DEFENDER oraz zaporę sieciową na routerze TP Link_AD8F4D.

3. Użytkownicy systemu niezwłocznie informują administratora systemu o zagrożeniach wskazywanych przez oprogramowanie antywirusowe.

4. W systemie informatycznym użyto systemu Firewall do ochrony dostępu do sieci komputerowej.

5. Każdy zbiór wczytywany do komputera, w tym także wiadomości e-mailowe, musi być przetestowany programem antywirusowym. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.

Rozdział 8
Sposób odnotowania informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

1. Administrator danych udostępnia dane odbiorcom danych samodzielnie tj. z pominięciem przyznawania dostępu odbiorcom danych do systemu informatycznego administratora danych.

2. W systemie informatycznym służącym do przetwarzania danych osobowych odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, administrator danych odnotowuje je w rejestrze odbiorców danych osobowych. W rejestrze odnotowywane są imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia.

Rozdział 9
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

1. Administrator systemu informatycznego prowadzi okresowe przeglądy systemu informatycznego w celu określania ich poziomu sprawności, biorąc pod uwagę racjonalne wykorzystanie sprzętu oraz bezpieczeństwo danych przetwarzanych z jego wykorzystaniem.

2. Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, przez firmy zewnętrzne na podstawie zawartych umów. W ww. umowach powinno znajdować się postanowienie o powierzeniu danych osobowych.

3. W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych.

4. W przypadku konieczności dokonania naprawy elementu infrastruktury systemu informatycznego przez osobę nieupoważnioną (np. zewnętrzny serwis informatyczny) w obszarze przetwarzania danych, wszelkie czynności dokonywane są pod bezpośrednim nadzorem osób upoważnionych lub administratora danych.

5. Administrator systemu przeprowadza ww. przegląd nie rzadziej niż raz na rok.

6. Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni administrator danych.

Rozdział 10
Postanowienia końcowe

1. W przypadku stwierdzenia uchybień dotyczących przetwarzania danych każda osoba powinna o tym fakcie niezwłocznie powiadomić administratora danych. Następnie administrator danych wprowadza takie zabezpieczenia i procedury, które w przyszłości wyeliminują takie zdarzenia.

2. Administrator danych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.

3. Należy zainstalować zalecane przez producentów oprogramowania aktualizacje systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania.

4. Wszelkie zasady opisane w niniejszej Instrukcji są przestrzegane przez użytkowników i administratorów systemów ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.

5. Instrukcja obowiązuje od dnia jej zatwierdzenia przez administratora danych czyli od 25 maja 2018.