Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Kancelarii Adwokackiej Adwokat Aneta Strzępek

1. Systemem informatycznym w Kancelarii jest zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych przetwarzanych w Kancelarii.

2. System informatyczny w Kancelarii tworzą:

1. Dostęp do systemu informatycznego posiada wyłącznie Adwokat, a w przypadku zatrudnienia pracowników, osoby zatrudnione w Kancelarii lub współpracujące z nią na podstawie umowy cywilnoprawnej, które zostały pisemnie upoważnione przez Adwokata do przetwarzania danych osobowych w systemie informatycznym. Adwokat określa zakres i rodzaj operacji przetwarzania danych osobowych, do których uprawnione są osoby określone w zdaniu poprzedzającym.

2. Informatyk rejestruje osobę uprawnioną w systemie informatycznym do przetwarzania danych osobowych jako użytkownika systemu informatycznego, za wyjątkiem konta użytkownika, którym jest Adwokat z uwagi na samodzielne dokonanie przez niego rejestracji.

3. Rejestracja użytkownika w systemie informatycznym polega na:

1. Adwokat może w każdym czasie cofnąć nadane użytkownikowi uprawnienie do przetwarzania danych osobowych w systemie informatycznym, w szczególności wówczas, gdy użytkownik zaniedbał obowiązki wynikające z niniejszej Instrukcji lub z Polityki ochrony danych osobowych obowiązującej w Kancelarii, dalej: „Polityka”. Cofnięcie uprawnień może nastąpić w całości albo w części, jak również mieć charakter czasowy lub trwały.

2. Na wniosek Adwokata Informatyk wyrejestrowuje użytkownika z systemu informatycznego. W zależności od decyzji Adwokata – wyrejestrowanie może mieć charakter czasowy lub trwały.

3. Wskutek wyrejestrowania użytkownika blokowane jest jego konto w systemie informatycznym; użytkownik traci dostęp do systemu informatycznego w Kancelarii.

4. Po wyrejestrowaniu użytkownika jego identyfikator konta nie może być przydzielony innej osobie.

1. Identyfikatorem użytkownika jest jego imię. W przypadku osób o tym samym imieniu identyfikatorem użytkownika jest pierwsza litera imienia użytkownika (kropka) pełne nazwisko użytkownika. Wykluczone jest nadanie tych samych identyfikatorów dwóm różnym osobom w Kancelarii.

2. Hasło użytkownika składa się co najmniej z ośmiu znaków. Nie może być konstruowane ze znaków znajdujących się obok siebie na klawiaturze. Hasło użytkownika nie może zawierać imienia lub nazwiska identyfikatora użytkownika.

3. Użytkownik ma obowiązek zmieniać hasło nie rzadziej niż co 30 dni. Hasło zmienione nie może zawierać tych samych słów co hasło poprzednie.

4. Użytkownik jest zobowiązany do zachowania w ścisłej tajemnicy hasła do systemu informatycznego i jego nieujawniania jakimkolwiek osobom. Obowiązek, o którym mowa w zdaniu poprzedzającym, dotyczy również innych użytkowników systemu informatycznego w Kancelarii.

1. W pomieszczeniu, w którym przetwarzane są dane osobowe, nie powinny znajdować się osoby nieupoważnione przez Adwokata do przetwarzania danych osobowych.

2. Rozpoczęcie przetwarzania danych osobowych w systemie informatycznym wymaga włączenia komputera oraz wprowadzenia identyfikatora i użytkownika oraz znanego tylko użytkownikowi hasła.

3. Użytkownik jest zobowiązany do wylogowania się z systemu informatycznego w każdym przypadku opuszczenia pomieszczenia, w którym przetwarzane są dane osobowe. Wylogowanie z systemu automatycznego następuje automatycznie w ciągu 5 minut od czasu zaprzestania dokonywania czynności na klawiaturze komputera.

4. Po zakończeniu pracy użytkownik:

1. Informatyk tworzy kopie zapasowe nośników informacji zawierających dane osobowe przetwarzane w Kancelarii.

2. Kopie zapasowe tworzone są w formie elektronicznej i przechowywane na innym serwerze aniżeli kopie podstawowe.

3. Kopie zapasowe tworzone są raz w tygodniu, po zakończeniu dnia roboczego w piątek, a jeżeli piątek jest dniem wolnym od pracy – po zakończeniu ostatniego roboczego w danym tygodniu.

4. Dostęp do serwera zawierającego kopie zapasowe mają wyłącznie Informatyk i Adwokat.

1. Zbiory danych osobowych w formie danych osobowych, jak również pliki zawierające dane osobowe przechowywane są na serwerach.

2. Przetwarzanie danych osobowych w formie elektronicznej dopuszczalne jest wyłącznie na przeznaczonych do tego komputerach administrowanych przez Kancelarię. Dostęp do komputera zabezpieczony jest hasłem zgodnie z Instrukcją.

3. Zakazuje się przetwarzania danych osobowych poza siedzibą Kancelarii, jak również przetwarzania ich w formie elektronicznej na innych nośnikach danych niż wskazane w ustępie poprzedzającym. W szczególności zakazuje się przetwarzania danych osobowych przy użyciu prywatnych laptopów, tabletów, notebooków, należących do osób upoważnionych w Kancelarii do przetwarzania danych osobowych.

4. Nośniki (płyty CD, dyskietki, dyski przenośne, pendrive, itd.) mogą być używane pod warunkiem, że są przechowywane w miejscach, do których nie posiadają dostępu osoby nieupoważnione przez Adwokata do przetwarzania danych osobowych.

5. Nośniki informatyczne przechowywane są w miejscach zabezpieczonych przed dostępem osób nieupoważnionych.

6. Zakazuje się wynoszenia z Kancelarii nośników zawierających dane osobowe.

7. O przetwarzaniu danych osobowych na nośnikach (płyty CD, dyskietki, dyski przenośne, pendrive, itd.) należy poinformować Adwokata.

1. W Kancelarii stosuje się zabezpieczenia przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, w tym w szczególności programu antywirusowego ESET Internet Security.

2. System antywirusowy podlega automatycznej aktualizacji zgodnie z warunkami i licencjami jego użytkownika.

3. Użytkownik niezwłocznie zawiadamia Adwokata o wszelkich wykrytych przez system zabezpieczeń zagrożeniach systemu informatycznego.

4. Przeglądu stosowanych zabezpieczeń dokonuje się nie rzadziej niż raz na trzy miesiące. W razie konieczności wdraża się systemy zabezpieczenia inne niż określone w ust. 1 niniejszego paragrafu.

1. Informatyk dokonuje przeglądu i konserwacji systemu informatycznego oraz nośników informacji służących do przetwarzania danych nie rzadziej niż raz na trzy miesiące, jednakże – w razie potrzeby – Adwokat może zlecić Informatykowi dokonanie tych czynności w dowolnym czasie.

2. W razie potrzeby Informatyk dokonuje naprawy urządzeń komputerowych służących do przetwarzania danych osobowych.

3. Wykonywanie przez Informatyka czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, nie powinno prowadzić do wystąpienia ryzyka naruszenia ochrony danych osobowych.

4. Jeżeli w trakcie czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, Informatyk ustali, że doszło lub mogło dojść do przypadku naruszenia ochrony danych, zawiadamia o tym Adwokata niezwłocznie, nie później jednak niż w ciągu godziny od ustalenia okoliczności.

5. Niezależnie od obowiązku zawiadomienia, o którym mowa w ustępie poprzedzającym, po zakończeniu czynności, o których mowa w ust. 1 lub 2 niniejszego paragrafu, Informatyk, sporządza w formie pisemnej protokół, w którym ocenia w szczególności stan zabezpieczeń, sygnalizuje ewentualne ryzyka związane z operacjami przetwarzania danych osobowych oraz rekomendacje dotyczące zwiększenia stopnia ochrony danych. Protokół przekazywany jest Adwokatowi.

1. Do przesyłania oraz odbierania wiadomości e-mail zawierających dane osobowe, których administratorem, podmiotem przetwarzającym lub odbiorcą jest Adwokat, użytkownicy mogą używać jedynie służbowych kont e-mail.

2. Użytkownicy zobowiązani są do szczególnej dbałości o to, aby wiadomości e-mail zawierające dane osobowe kierowane były wyłącznie do osób do tego uprawnionych. Na końcu każdej wysyłanej wiadomości e-mail jest ustawiona domyślnie informacja:

Niniejsza wiadomość wraz z załącznikami jest przeznaczona jedynie dla osoby lub podmiotu będącego jej adresatem i może zawierać poufne informacje. Zakazane jest przeglądanie, przesyłanie, rozpowszechnianie lub inne wykorzystywanie tych informacji, jak również podejmowanie działań na ich podstawie, przez osoby lub podmioty inne niż zamierzony adresat. Jeśli otrzymali Państwo tę wiadomość przez pomyłkę, prosimy o niezwłoczne poinformowanie nadawcy i nieodwracalne usunięcie jej wraz z wszystkimi załącznikami.

3. Należy zachować szczególną ostrożność przy odbiorze wiadomości od nieznanych adresatów. W razie podejrzenia, że otrzymana wiadomość może zawierać złośliwe oprogramowanie (wirus), przed jej otwarciem należy skontaktować się z Adwokatem.

1. Adwokat sprawuje nadzór nad prawidłowym wykonywaniem niniejszej instrukcji i zapobiega jej naruszeniom.

2. Informatyk zobowiązany jest do dokonywania wszystkich czynności, o których mowa w niniejszej instrukcji, zgodnie z jej postanowieniami, z Polityką, RODO i innymi przepisami prawa, jak również zgodnie z najlepszymi zasadami wiedzy technicznej.

3. Zgodnie z art. 28 RODO Adwokat i Informatyk zawarli umowę o powierzenie przetwarzania danych osobowych dla potrzeb wykonania niniejszej instrukcji.

4. Umowa cywilnoprawna o współpracy zawarta pomiędzy Adwokatem a Informatykiem zabezpiecza wykonanie przez Informatyków obowiązków, o których mowa w niniejszej Instrukcji.

5. Adwokat zapewnia, że Informatyk oraz wszyscy użytkownicy przetwarzający dane osobowe w systemie informatycznym zapoznali się z niniejszą instrukcją i na piśmie zobowiązały się do przestrzegania jej postanowień.

6. Adwokat i Informatyk, z własnej inicjatywy lub na wniosek osoby dokonującej operacji przetwarzania danych osobowych, udzielają jej porad, informacji, wskazówek, a także wiążących poleceń dotyczących ochrony danych osobowych, w tym niniejszej instrukcji.

7. Zarówno Informatyk, jak i każda osoba dokonująca operacji przetwarzania danych osobowych w systemie informatycznym może zgłaszać Adwokatowi propozycje optymalizacji systemu informatycznego w Kancelarii w związku z przetwarzaniem danych osobowych w Kancelarii, mając na względzie przede wszystkim ochronę praw i wolności osób, których dane dotyczą. Zgłoszone propozycje mogą w szczególności skutkować zmianą niniejszej instrukcji lub przeglądu, o którym mowa w § 13 ust. 4 poniżej.

8. Za naruszenie niniejszej instrukcji Informatyk oraz osoby przetwarzające dane osobowe na polecenie Adwokata mogą ponosić odpowiedzialność na zasadach określonych w odrębnych przepisach, w tym, w szczególności w Kodeksie pracy. W szczególności naruszenie niniejszej instrukcji może stanowić:

1. W sprawach nieuregulowanych niniejszą instrukcją stosuje się Politykę ochrony danych osobowych powszechnie obowiązujące przepisy prawa, w tym w szczególności przepisy RODO, jak również wskazówki i polecenia Informatyka oraz Adwokata.

2. Instrukcja została sporządzona w formie pisemnej w jednym egzemplarzu. Podpisany oryginał Instrukcji przechowywany jest w Kancelarii.

3. Niniejsza Instrukcja wchodzi w życie z dniem 25 maja 2018 r.

4. Niniejsza instrukcja obowiązuje do czasu jej zmiany lub uchylenia. W razie potrzeby, nie rzadziej niż raz w roku, Adwokat – w razie potrzeby po konsultacjach z Informatykiem lub osobami dokonującymi operacji przetwarzania danych osobowych w Kancelarii - dokonuje przeglądu Instrukcji, uwzględniając w szczególności analizę skutków jej obowiązywania dla ochrony danych osobowych oraz ochrony praw i wolności osób, których dane dotyczą. Adwokat dokona zmiany Instrukcji w szczególności w przypadku, gdy zmianie ulegną obowiązujące regulacje prawne w zakresie ochrony danych osobowych.