Wczytuję dane...
Polityka prywatności

Polityka prywatności

przetwarzania danych osobowych

w sklepie internetowym

www.mijaculture.pl


prowadzonym przez firmę


Marite Mijaczewska Mija Arts

 

Spis treści

  1. Ogólne zasady przetwarzania danych osobowych. 3
  2. Analiza zagrożeń. 4
  3. Środki ochrony danych osobowych. 4
  4. Postępowanie w przypadku naruszenia bezpieczeństwa. 7
  5. Spis załączników.. 7

 

 

 

1.     Ogólne zasady przetwarzania danych osobowych

Kierownictwo i pracownicy firmy przywiązują szczególną wagę do zapewnienia bezpiecznego przetwarzania danych osobowych klientów sklepu internetowego, dlatego w organizacji wprowadza się opisany w Polityce bezpieczeństwa zbiór zabezpieczeń niwelujących ryzyka wynikające z zagrożeń zewnętrznych i wewnętrznych. Zabezpieczenia te są stale monitorowane, przeglądane i w razie potrzeby ulepszane tak, aby zapewnić spełnienie celów związanych z zapewnieniem bezpieczeństwa przetwarzanych danych osobowych.

Zasady opisane w Polityce bezpieczeństwa dotyczą w szczególności zabezpieczenia danych osobowych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

Polityka bezpieczeństwa obowiązuje wszystkie osoby, które mają kontakt z danymi osobowymi przetwarzanymi przez firmę, w szczególności: pracowników sklepu i osoby współpracujące na podstawie umów cywilnoprawnych oraz podmioty trzecie współpracujące z administratorem danych, wraz z ich pracownikami i osobami współpracującymi.

Polityka bezpieczeństwa ma zastosowanie w przypadku przetwarzania danych osobowych w formie papierowej jak i w systemach informatycznych, przy czym w tym przypadku obowiązuje dodatkowo Instrukcja zarządzania systemem informatycznym.

Nadzór nad przetwarzaniem danych osobowych sprawuje w firmie osobiście Administratora Danych Osobowych lub wyznaczony przez niego pełnomocnik ds. ochrony danych osobowych. Administrator danych osobowych może wyznaczyć Administratora Bezpieczeństwa Informacji zgodnie z ustawą o ochronie danych osobowych. Dodatkowo administrator danych osobowych może wyznaczyć Administratora Systemu Informatycznego, który odpowiada za bezpieczeństwo systemu informatycznego oraz wdrożenie i przestrzeganie Instrukcji zarządzania systemem informatycznym.

Polityka bezpieczeństwa została opracowana zgodnie z wymogami określonymi:

- ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2014 r. poz. 1182),

- rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024).

2.     Analiza zagrożeń

W związku z działalnością sklepu internetowego i przetwarzaniem danych osobowych jego klientów zidentyfikowano następujące zagrożenia dla bezpieczeństwa tych danych:

  1. brak świadomości niebezpieczeństwa w wyniku dopuszczenia osób nieupoważnionych do obszaru przetwarzania danych osobowych lub systemu informatycznego,
  2. kradzież lub inne nieautoryzowane wynoszenie papierowych lub informatycznych nośników danych zawierających dane osobowe poza obszar przetwarzania,
  3. zainfekowanie systemu informatycznego programami, których celem jest uzyskanie nieuprawnionego dostępu do danych osobowych jak wirusy, robaki, keyloggery itp.,
  4. ataki wewnętrzne i zewnętrzne na sieć teleinformatyczną wykorzystywaną przez sklep internetowy w tym podsłuch, manipulacja, podstawienie lub ich kombinacja,
  5. awaria systemu informatycznego,
  6. zagrożenia zewnętrzne jak pożar, zalanie pomieszczeń, katastrofa budowlana itp.

3.     Środki ochrony danych osobowych

Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stosuje się następujące środki techniczne i organizacyjne:

 

  1. Osoby dopuszczone do przetwarzania danych osobowych
  2. Do przetwarzania danych osobowych są dopuszczone wyłącznie osoby posiadające pisemne upoważnienia nadane przez administratora danych osobowych (załącznik nr 2).
  3. Osoby dopuszczone do przetwarzania danych osobowych podpisują zobowiązanie o zachowaniu poufności tych danych (załącznik nr 3).
  4. Osoby upoważnione do przetwarzania danych mają obowiązek:
    1. przetwarzać je zgodnie z celem oraz obowiązującymi przepisami, w szczególności z ustawą i rozporządzeniem oraz niniejszą Polityką bezpieczeństwa i Instrukcją systemu informatycznego,
    2. nie udostępniać ich oraz uniemożliwiać dostęp do nich osobom nieupoważnionym,
    3. zabezpieczać je przed zniszczeniem i niezamierzoną zmianą.
  5. Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych (załącznik nr 1), do której stały dostęp mają wszystkie osoby upoważnione oraz kierownictwo firmy.
  6. Osoby upoważnione do przetwarzania danych osobowych są szkolone w zakresie procedur bezpieczeństwa i właściwego użycia urządzeń do przetwarzania danych osobowych.

 

  1. Obszar przetwarzania danych osobowych
    1. Administrator danych wyznaczył bezpieczne obszary przetwarzania danych osobowych, które są zabezpieczone zarówno przed zagrożeniami fizycznymi jak i środowiskowymi i opisał je w wykazie budynków, pomieszczeń lub części pomieszczeń tworzących te obszary (załącznik nr 4).
    2. W bezpiecznych obszarach przetwarzania, osoby upoważnione do przetwarzania danych osobowych mają dostęp do tych danych zgodnie z zakresem przyznanych upoważnień.
    3. W przypadku konieczności dostępu do bezpiecznego obszaru przetwarzania przez osoby nieposiadające upoważnienia, a które muszą dokonać doraźnych prac o charakterze serwisowym lub innym, podpisują oświadczenie o zachowaniu poufności (załącznik nr 3).
    4. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe, to część, w której przetwarzane są dane osobowe jest wyraźnie oddzielona od części ogólnodostępnej na przykład poprzez montaż barierek lub odpowiednie ustawienie mebli uniemożliwiające niekontrolowany dostęp osób niepowołanych do urządzeń lub zbiorów danych osobowych.
    5. Zabronione jest wynoszenie informatycznych nośników danych, sprzętu komputerowego oraz dokumentów zawierających dane osobowe poza bezpieczny obszar przetwarzania danych osobowych bez uprzedniego zezwolenia wydanego przez administratora danych osobowych.

 

  1. Dokumenty i nośniki danych zawierające dane osobowe
    1. Dokumenty papierowe oraz informatyczne nośniki danych, które zawierają dane osobowe przechowywane są w zamykanych szafach.
    2. Wydruki zawierające dane osobowe, które nie są już przydatne do dalszej pracy są natychmiast niszczone.
    3. W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenie dokonuje się poprzez pocięcie w niszczarce.
    4. Nośniki danych przeznaczone do zniszczenia, na których są przechowywane dane osobowe lub ich kopie zapasowe, pozbawia się wcześniej zapisanych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
    5. Jeśli dokumenty papierowe lub nośniki danych zawierające dane osobowe muszą być przekazane poza bezpieczny obszar przetwarzania danych osobowych (na przykład transportowane do Urzędu Skarbowego) to są zabezpieczane przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

 

  1. Zbiory danych osobowych
    1. Administrator danych osobowych prowadzi wykaz zbiorów danych osobowych oraz programów służących do ich przetwarzania (załącznik nr 5).
    2. Administrator danych osobowych aktualizuje opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami (załącznik nr 5).
    3. Jeśli nie ma powołanego zgodnie z ustawą Administratora Bezpieczeństwa Informacji, zbiory danych osobowych klientów sklepu są zgłaszane do rejestracji w biurze Generalnego Inspektora Danych Osobowych.

 

  1. Udostępnianie danych osobowych
    1. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie po pozytywnym zweryfikowaniu ustawowych przesłanek dopuszczalności takiego udostępnienia, przez co rozumie się w szczególności pisemny wniosek podmiotu uprawnionego. Administrator danych osobowych prowadzi wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 6).
    2. Zlecenie podmiotowi zewnętrznemu przetwarzania danych osobowych może nastąpić wyłącznie w ramach umowy powierzenia przetwarzania danych osobowych (załącznik nr 8). Administrator danych osobowych prowadzi wykaz podmiotów i osób, którym powierzono dane osobowe do przetwarzania (załączniki nr 7).
    3. Na podstawie pisemnego wniosku i po potwierdzeniu tożsamości wnioskodawcy, administrator danych udziela osobie, której dane dotyczą, następujących informacji na piśmie:
      1. informacja o prawach przysługujących osobie, której dane są przetwarzane,
      2. informacja czy zbiór danych istnieje,
      3. dane administratora danych: pełna nazwa oraz adres siedziby,
      4. cel, zakres i sposób przetwarzania danych,
      5. data rozpoczęcia przetwarzanie danych,
      6. źródło, z którego dane pochodzą,
      7. sposób udostępniania danych, w szczególności informacja o odbiorcach danych lub kategoriach odbiorców, którym dane są udostępniane,
      8. przesłanki podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy,
      9. w konkretnej sytuacji administrator danych udziela dodatkowych informacji, jeśli są one niezbędne do wykonywania uprawnień osoby, której dane dotyczą.
    4. Osoba, której dane dotyczą, nie ma prawa dostępu do dokumentów źródłowych zawierających dane osobowe lub swobodnego dostępu do systemu informatycznego, a jedynie prawo do uzyskania informacji dotyczących przetwarzania jej danych.
  2. Każdorazowo sposób udostępnienia, a w szczególności przekazania danych osobowych musi spełniać zasady zapewnienia bezpieczeństwa tych danych.

 

  1. System informatyczny
    1. System informatyczny sklepu internetowego posiada połączenie z siecią publiczną (Internet), dlatego zastosowano środki bezpieczeństwa na poziomie wysokim.
    2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze są chronione przez zaporę ogniową (firewall), a stacje robocze dodatkowo oprogramowaniem antywirusowym.
    3. Okablowanie i urządzenia sieciowe zostały rozlokowane w sposób umożliwiający bezpośredni dostęp tylko z pomieszczeń zamykanych na klucz.
    4. Zasady nadawania i rejestrowania uprawnień do przetwarzania danych osobowych w systemie informatycznym, metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem przeznaczone dla użytkowników systemu opisane zostały w Instrukcji zarządzania systemem informatycznym.
    5. Procedury tworzenia oraz przechowywania kopii zapasowych zbiorów danych opisane zostały w Instrukcji zarządzania systemem informatycznym.

4.     Postępowanie w przypadku naruszenia bezpieczeństwa

Osoba, która stwierdziła naruszenie lub ma podejrzenie naruszenia bezpieczeństwa przetwarzania danych osobowych powinna:

- zanotować wszystkie ważne szczegóły i okoliczności związane z danym zdarzeniem, a w szczególności dokładny czas (na przykład typ niezgodności lub naruszenia, błędu działania, wiadomości z ekranu, dziwnego zachowania oraz informacja kiedy zdarzenie miało miejsce),

- nie podejmować innych samodzielnych działań, lecz natychmiast poinformować bezpośredniego przełożonego lub administratora danych osobowych.

5.       Spis załączników

 

Załącznik nr 1

Ewidencja osób upoważnionych do przetwarzania danych osobowych

 

Załącznik nr 2

Upoważnienie do przetwarzania danych osobowych

 

Załącznik nr 3

Zobowiązanie o zachowaniu poufności danych osobowych

 

Załącznik nr 4

Wykaz obszarów przetwarzania danych osobowych

 

Załącznik nr 5

Wykaz zbiorów danych osobowych i programów służących do ich przetwarzania wraz z opisem sposobu przepływu danych pomiędzy poszczególnymi systemami

 

Załącznik nr 6

Wykaz podmiotów i osób, którym udostępniono dane osobowe

 

Załącznik nr 7

Wykaz podmiotów i osób, którym powierzono dane osobowe do przetwarzania

 

Załącznik nr 8

Umowa powierzenia przetwarzania danych osobowych

 __________________________________________________________________________________________________

Instrukcja zarządzania systemem informatycznym

służącym do przetwarzania danych osobowych w sklepie internetowym

www.mijaculture.pl
prowadzonym przez firmę


Marite Mijaczewska Mija Arts

Spis treści

  1. Przetwarzanie danych osobowych w systemie informatycznym.. 3
  2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności 4
  3. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.. 4
  4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 4
  5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób, miejsce i okres przechowywania. 5
  6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. 5
  7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 6
  8. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych 6

 

1.     Przetwarzanie danych osobowych w systemie informatycznym

Instrukcja zarządzania systemem informatycznym określa sposób zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych osobowych przez sklep internetowy. Opisane procedury i zasady postępowania mają na celu zapewnienie bezpieczeństwa przetwarzania tych danych zgodnie z założeniami Polityki bezpieczeństwa danych osobowych, która jest dokumentem nadrzędnym i zawiera ogólne wytyczne dla bezpiecznego przetwarzania danych osobowych klientów.

Uwzględniając kategorie przetwarzanych danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną (Internetem), obowiązuje „poziom wysoki” bezpieczeństwa w rozumieniu przepisów prawa.

Przetwarzane dane są przechowywane na serwerze i stacje robocze służą przede wszystkim do prezentacji danych (przeglądarka internetowa). Uwierzytelnianie użytkowników i kontrola poziomu uprawnień zapewniane są przede wszystkim na poziomie systemu operacyjnego serwera i aplikacji działającej na serwerze oraz poprzez szyfrowanie teletransmisji.

Administrator danych wykorzystuje do przetwarzania danych osobowych przede wszystkim systemy informatyczne (aplikacje) działające na serwerach będących w zewnętrznych centrach przetwarzania danych, które zapewniają wyższy poziom zabezpieczeń danych osobowych przetwarzanych w tych systemach informatycznych, a w szczególności wyższe bezpieczeństwo fizyczne i środowiskowe serwerów oraz automatyczne wykonywanie kopii zapasowych.

W przypadku wyznaczenia Administratora Systemu  Informatycznego (ASI) jest on odpowiedzialny za przestrzeganie zasad bezpieczeństwa przetwarzania danych osobowych w zakresie systemu informatycznego. Do obowiązków ASI należy także kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz przeprowadzanie analizy ryzyka uwzględniającej realne zagrożenia dla systemu informatycznego.

Instrukcja została opracowana zgodnie z wymogami określonymi:

- ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2014 r. poz. 1182),

- rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024).

2.     Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

  1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych i podpisała pisemne oświadczenie o poufności oraz została zarejestrowana w tym systemie jako użytkownik.
  2. W Ewidencji osób upoważnionych do przetwarzania danych osobowych odnotowuje się nadany identyfikator użytkownika oraz poziom przyznanych uprawnień w systemie informatycznym.
  3. Wraz z zakończeniem współpracy z osobą, która posiada dostęp do systemu informatycznego służącego do przetwarzania danych osobowych lub cofnięciu upoważnienia, użytkownik jest wyrejestrowywany.
  4. Raz przydzielony identyfikator użytkownika, nawet po jego wyrejestrowaniu z systemu informatycznego, nie może zostać przydzielony innemu użytkownikowi.

3.     Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

  1. Uwierzytelnienie użytkownika polega na porównaniu wprowadzonego przez niego hasła z hasłem pasującym danego identyfikatora zarejestrowanym w systemie informatycznym.
  2. Pierwsze hasło nadawane jest przez system informatyczny i użytkownik jest zobowiązany do jego niezwłocznej zmiany po pierwszym zalogowaniu. Pierwsze hasło jest przekazywane w sposób bezpieczny.
  3. Hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.
  4. Hasło jest zmieniane co najmniej co 30 dni.
  5. Hasła są przechowywane w systemie informatycznym w postaci uniemożliwiającej ich odczytanie.
  6. Użytkownik jest zobowiązany do zabezpieczenia swojego hasła przed nieuprawnionym dostępem osób trzecich.

4.     Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

  1. Dostęp do systemu informatycznego jest możliwy wyłącznie po podaniu indywidualnego identyfikatora i pasującego do niego hasła.
  2. W przypadku potrzeby opuszczenia stanowiska pracy, użytkownik zobowiązany jest do zablokowania dostępu w sposób uniemożliwiający odczytanie zawartości ekranu i wznowienia pracy bez podania hasła.
  3. Po 30 minutach od zaprzestania pracy jej wznowienie wymaga ponownego podania identyfikatora użytkownika i hasła.
  4. Zakończenie pracy w systemie informatycznym następuje po wylogowaniu się z niego.

5.     Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób, miejsce i okres przechowywania

  1. Kopie zapasowe baz danych wykonywane są przy pomocy narzędzi dostarczonych wraz z oprogramowaniem sklepu internetowego lub baz danych.
  2. Co najmniej raz na miesiąc jest wykonywana kopia przyrostowa.
  3. Co najmniej raz na rok jest wykonywana kopia pełna.
  4. Kopie zapasowe przechowuje się na pamięci przenośnej lub na nośnikach DVD, które są następnie przechowywane w szafie zamykanej na klucz.
  5. Kopie zapasowe są usuwane bezzwłocznie po ustaniu ich użyteczności.
  6. Zasady postępowania z informatycznymi nośnikami zawierającymi dane osobowe zostały opisane w Polityce bezpieczeństwa.

6.     Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego

  1. Zabezpieczenie dostępu do sieci teleinformatycznej ma na celu ochronę usług sieciowych przed nieupoważnionym dostępem z zewnątrz i z wewnątrz odbywa się zgodnie z wytycznymi opisanymi w Polityce bezpieczeństwa.
  2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze znajdujące się w sieciach LAN są chronione przez zaporę ogniową (firewall).
  3. W przypadkach, kiedy wykorzystanie dedykowanych urządzeń firewall nie jest zasadne, serwery i stacje robocze są chronione przez lokalnie zainstalowane oprogramowanie realizujące funkcję zapory ogniowej.
  4. Użytkownikom nie wolno otwierać na komputerach, na których odbywa się przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła bez zgody przełożonego.
  5. Na wszystkich komputerach pracujących pod kontrolą systemu operacyjnego Microsoft Windows zainstalowany jest program antywirusowy, którego aktualizacja wykonywana jest automatycznie. Oprogramowanie antywirusowe sprawuje ciągły nadzór nad uruchamianymi lub wprowadzanymi do systemu programami oraz załącznikami poczty elektronicznej.

7.     Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

  1. Przeglądy i konserwacja przeprowadzana jest doraźnie, nie rzadziej niż w terminach określonych przez producentów systemu lub jeśli brak jest innych wytycznych raz na 3 miesiące wykonuje się generalny przegląd systemu informatycznego, polegający na ustaleniu poprawności działania tych jego elementów, które są niezbędne do zapewnienia realizacji funkcji wynikających z niniejszej Instrukcji.
  2. W przypadku stwierdzenia nieprawidłowości w działaniu elementów systemu opisanych w pkt. 1 podejmuje się niezwłocznie czynności zmierzające do przywrócenia ich prawidłowego działania.
  3. Jeżeli do przywrócenia prawidłowego działania systemu niezbędna jest pomoc podmiotu zewnętrznego, wszelkie czynności na sprzęcie komputerowym dokonywane w obszarze przetwarzania danych osobowych, powinny odbywać się w obecności osoby wyznaczonej przez Administratora Danych Osobowych.

8.     Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych

  1. System informatyczny umożliwia automatyczne przypisanie wprowadzanych danych osobowych użytkownikowi (na podstawie identyfikatora użytkownika), który te dane wprowadza do systemu oraz daty pierwszego wprowadzenia danych do systemu.
  2. System informatyczny umożliwia automatyczne odnotowanie informacji oraz sporządzanie i wydrukowanie dla każdej osoby, której dane są przetwarzane w systemie, raportu, w którym znajdują się przedstawione w powszechnie zrozumiałej formie następujące informacje:
    1. data pierwszego wprowadzenia danych do systemu administratora danych,
    2. identyfikator użytkownika wprowadzającego dane,
    3. źródło danych w przypadku zbierania danych nie od osoby, której one dotyczą,
    4. informacje o odbiorcach danych, którym dane osobowe zostały udostępnione, data i zakres udostępnienia,
    5. sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy,
    6. treść przetwarzanych danych osobowych (zgodnie z wymogiem art. 32 ust. 1 pkt 3 ustawy).
  3. Dla każdej osoby, której dane osobowe są przetwarzane, system informatyczny zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w pkt. 2 litera a-e.
  4. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia odnotowanie informacji o udostępnionych danych odbiorcom, zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione.