rodo

  1. Strategia bezpieczeństwa

§ 1. Definicje

Użyte w niniejszej Polityce Bezpieczeństwa Informacji oznaczają:

  1. Administrator – Paweł Czernicki prowadzący działalność gospodarczą pod firmą STUDIO URODY i MASAŻU “TWÓJ STYL” z siedzibą w Rzeszowie, (adres firmy: 35-001 Rzeszów ul. Józefa Piłsudskiego, nr 44), posiadajcy NIP 8131504946, REGON 691754040,

  2. pracownik – osoba świadcząca pracę Administratorowi na podstawie stosunku pracy lub innego stosunku prawnego. Zapisy niniejszej Polityki Bezpieczeństwa Informacji odnoszące się do pracowników stosuje się także do stażystów i praktykantów,

§ 2. Cel

Celem wprowadzenia Polityki Bezpieczeństwa Informacji jest:

  1. zapewnienie wymaganego zaangażowania pracowników lub zleceniobiorców w utrzymanie poziomu bezpieczeństwa informacji w tym ochrony danych osobowych które przetwarza Administrator.

  2. określenie kierunków rozwoju zarządzania bezpieczeństwem informacji w tym ochroną danych osobowych, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowaniu sprawnego funkcjonowania Administratora,

  3. obniżanie zidentyfikowanych ryzyk związanych z bezpieczeństwem informacji w tym ochroną danych osobowych.

§ 3. Sformułowanie strategii ochrony danych osobowych

Bezpieczeństwo Administratora to stan określony przez przyjęty zbiór norm, zasad, rozwiązań oraz środków i metod ochrony zasobów informacyjnych, którego miarą jest poziom ryzyka naruszenia dostępności, poufności lub integralności tych zasobów. Bezpieczeństwo Administratora jest zapewnione, jeżeli ryzyko naruszenia dostępności, poufności lub integralności chronionych zasobów Administratora nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce Bezpieczeństwa Informacji i związanych z nią dokumentach.

§ 4. Regulacje ogólne

Ochronie podlegają w szczególności:

  1. dane osobowe przetwarzane przez Administratora, niezależnie od ich formy i nośnika,

  2. sprzęt wykorzystywany do przetwarzania, przesyłania i przechowywania danych osobowych u Administratora,

  3. pomieszczenia, w których znajduje się kluczowy sprzęt informatyczny zawierający dane osobowe,

  4. dokumenty zawierające dane osobowe,

  5. oprogramowanie wykorzystywane u Administratora,

  6. wizerunek Administratora,

  7. pozostałe mienie wykorzystywane przez Administratora lub będące jego własnością,

  8. informacje, których właścicielem są kontrahenci lub jednostki zewnętrzne współpracujące z Administratorem.

§ 5. Uwarunkowania prawne

  1. Niniejsza Polityka Bezpieczeństwa Informacji jest zgodna z przepisami obowiązującego prawa, w szczególności z:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

  • ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2015 r. poz. 2135) oraz aktem prawnym ją zastępującym,

  • rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) oraz aktem prawnym je zastępującym

  1. Niniejsza Polityka Bezpieczeństwa Informacji ma zastosowanie także wtedy, kiedy Administrator przetwarza dane jako procesor lub podmiot przetwarzający w rozumieniu przepisów prawa.

§ 6. Potencjalne zagrożenia

Zasoby Administratora, w szczególności informacje i dane osobowe, a także sprzęt niezbędny do ich przechowywania i przetwarzania, są istotne dla prowadzenia przez Administratora działalności gospodarczej. W szczególności identyfikuje się następujące kategorie zagrożeń, którym mogą podlegać zasoby Administratora:

  1. naruszenie poufności danych zarówno przez pracowników lub zleceniobiorców, jak i osoby niezatrudnione u Administratora, w tym również przez kradzież zasobu,

  2. niedostępność zasobu lub znaczna degradacja jego istotnych parametrów funkcjonalnych lub utrata danych (zniszczenie zasobu) na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania,

  3. naruszenie integralności danych na skutek nieumyślnego, umyślnego lub przypadkowego działania,

  4. stosowanie niespójnych zasad (standardów, procedur) i środków ochrony systemów.

  1. Organizacja bezpieczeństwa informacji u Administratora

§7 Ewidencja osób upoważnionych

  1. Administrator prowadzi w formie papierowej „Ewidencję osób upoważnionych do przetwarzania danych osobowych”, która składa się z następujących elementów:

  1. imienia i nazwiska osoby upoważnionej

  2. daty nadania upoważnienia

  3. daty ustania upoważnienia

  4. zakresu upoważnienia

  5. identyfikatora osoby upoważnionej (dla danych przetwarzanych w systemie informatycznym)

  6. podpisu osoby upoważnionej

  7. podpisu osoby dokonującej wpisu w Ewidencji

  1. Ewidencja jest aktualizowana i uzupełniana na bieżąco i niezwłocznie, a wpis nowej osoby do ewidencji następuje tylko po spełnieniu warunków o których mowa w §11 pkt 3.

  2. Aktualna Ewidencja stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji.

§ 8. Poziomy bezpieczeństwa

  1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy

bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

    1. podstawowy;
    2. podwyższony;
    3. wysoki.
  1. Poziom co najmniej podstawowy stosuje się, gdy:

  1. w systemie informatycznym nie są przetwarzane dane osobowe szczególnej kategorii oraz

  2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

  1. Poziom co najmniej podwyższony stosuje się, gdy:

  1. w systemie informatycznym przetwarzane są dane osobowe szczególnej kategorii oraz

  2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

  1. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

  2. W przypadku gdy struktura zbioru danych osobowych nie pozwala na wyodrębnienie danych dla celów stosowania różnych poziomów bezpieczeństwa, stosuje się poziom wyższy dla całości zbioru.

§ 9. Przetwarzanie danych w systemie informatycznym

  1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:

  1. daty pierwszego wprowadzenia danych do systemu;

  2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;

  3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;

  4. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych.

  1. Odnotowanie informacji, o których mowa w punkcie 1 lit. a) i b), następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

  2. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w punkcie 1.

  3. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w punkcie 1) mogą być realizowane
    w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

§ 10. Środki bezpieczeństwa

  1. Środki bezpieczeństwa na poziomie podstawowym:

      1. Budynki, pomieszczenia lub części pomieszczeń, w których przetwarza się dane osobowe:

  1. budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych;

  2. przebywanie osób nieuprawnionych w obszarze, o którym mowa powyżej, jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych;

      1. System informatyczny:

  1. w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych;

  2. jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:

  • w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;

  • dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora
    i dokonaniu uwierzytelnienia.

  1. system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

  • działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

  • utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

      1. Identyfikator użytkownika, kopie zapasowe:

  1. identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie;

  2. w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków;

  3. kopie zapasowe:

  • przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

  • usuwa się niezwłocznie po ustaniu ich użyteczności.

      1. Transport urządzeń, na którym zapisane są dane osobowe:

  1. osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza budynkami, pomieszczeniami i częściami pomieszczeń, w których przetwarza się dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

      1. Sposób postępowania z urządzeniami, dyskami lub innymi elektronicznymi nośnikami informacji, na których zapisane są dane osobowe:

  1. urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

  • likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

  • przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

  • naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych.

  1. Środki bezpieczeństwa na poziomie podwyższonym:

  1. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

  2. Urządzenia i nośniki zawierające dane osobowe wrażliwe, przekazywane poza obszar, budynki, pomieszczenia i części pomieszczeń, w których przetwarza się dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

  3. Ponadto stosuje się środki bezpieczeństwa na poziomie podstawowym.

  1. Środki bezpieczeństwa na poziomie wysokim:

  1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

  2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one:

  • kontrolę przepływu informacji pomiędzy systemem informatycznym Administratora danych a siecią publiczną;

  • kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego Administratora danych.

  1. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

  2. Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa stosowane również na poziomie podstawowym i podwyższonym.

  1. Inspektor Ochrony Danych Osobowych

§ 11. Powołanie Inspektora Ochrony Danych

  1. Z uwagi na fakt, że działalność Administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę powołanie Inspektora Ochrony Danych Osobowych jest obligatoryjne.

  2. Inspektor Ochrony Danych może być członkiem personelu Administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

  3. Administrator publikuje dane kontaktowe Inspektora Ochrony Danych na swoich stronach internetowych oraz zawiadamia o jego powołaniu, odwołaniu lub zmianie danych organ nadzorczy.

§ 12. Zadania Inspektora Ochrony Danych

  1. Inspektor Ochrony Danych jest niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych i jest odpowiedzialny za prawidłowe przetwarzanie tych danych przez Administratora.

  2. Do zadań Inspektora Ochrony Danych należy:

  1. informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania przepisów o ochronie danych oraz niniejszej Polityki Bezpieczeństwa Informacji, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. współpraca z organem nadzorczym;

  4. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem i innych sprawach.

  1. Inspektor Ochrony Danych jest odpowiedzialny za prowadzenie rejestru czynności przetwarzania zawierającego:

  1. nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także Inspektora Ochrony Danych;

  2. cele przetwarzania;

  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;

  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  1. Inspektor Ochrony Danych jest odpowiedzialny bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je w imieniu Administratora organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Inspektor Ochrony Danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

§ 13. Poufność wykonywania zadań przez Inspektora Ochrony Danych

Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań zarówno w trakcie jak i po ustaniu sprawowania funkcji.

Obowiązki pracowników oraz kontrahentów i jednostek zewnętrznych

§ 14. Obowiązki pracowników

  1. Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich pracowników lub Zleceniobiorców Administratora, a każda osoba podejmująca pracę u Administratora lub inna osoba uzyskująca dostęp do danych osobowych, przyjmuje na siebie obowiązek zachowania w tajemnicy danych osobowych z którymi ma styczność oraz sposobów ich zabezpieczenia.

  2. Każdy nowozatrudniony pracownik w pierwszym dniu pracy ma obowiązek:

  1. zapoznać się z zasadami, regułami i postanowieniami niniejszej Polityki Bezpieczeństwa Informacji oraz dokumentów z nią związanych i potwierdzić ten fakt podpisując oświadczenie, które stanowi Załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji

  2. odbyć szkolenie z zakresu bezpieczeństwa informacji w tym ochrony danych osobowych, (jeżeli Administrator uzna przeprowadzenie takiego szkolenia za stosowne), które potwierdzane jest w Karcie szkolenia z zakresu bezpieczeństwa informacji, której wzór stanowi załącznik nr 2 do Polityki Bezpieczeństwa Informacji.

  1. Dostęp do danych osobowych pracownik otrzymuje dopiero po wydaniu mu pisemnego upoważnienia do przetwarzania danych osobowych oraz po podpisaniu oświadczenia, które stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji oraz po wpisie pracownika do Ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w §7.

  2. Pracownicy Administratora mają prawo używać danych osobowych, które przetwarza Administrator wyłącznie do celów służbowych, chyba, że regulacje szczegółowe stanowią inaczej.

§ 15. Obowiązki kontrahentów i jednostek zewnętrznych

  1. Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich kontrahentów, jednostki zewnętrzne i ich pracowników, o ile w trakcie realizacji umowy otrzymują dostęp do zasobów informacyjnych Administratora.

  2. W przypadku, gdy kontrahent w trakcie wykonywania umowy ma lub może mieć dostęp do zasobów informacyjnych Administratora, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania bezpieczeństwa informacji. Klauzula ta powinna zawierać: zobowiązanie kontrahenta do przestrzegania Polityki Bezpieczeństwa Informacji, ochrony udostępnionych zasobów informacyjnych poprzez ograniczenie ich kopiowania i udostępniania oraz do ich zwrotu lub zniszczenia w momencie zakończenia umowy.

  3. Istotne naruszenie bezpieczeństwa informacji przez kontrahenta stanowi podstawę do odstąpienia przez Administratora od umowy i żądania pokrycia ewentualnej szkody lub zapłaty kary umownej, jeżeli taki obowiązek wynika z zawartej umowy.

Umowy o powierzenie przetwarzania danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi

§ 16. Wybór procesora lub podmiotu przetwarzającego

Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z przepisów prawa i chroniło prawa osób, których dane dotyczą.

§ 17. Niezbędne elementy umowy

Z każdej umowy o przetwarzanie danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi zawartej przez Administratora musi jednoznacznie wynikać, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  3. podejmuje wszelkie środki bezpieczeństwa wymagane przepisami prawa;

  4. korzysta on wyłącznie z usług innych podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów prawa i chroniło prawa osób, których dane dotyczą i jednocześnie nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody, a w przypadku ogólnej pisemnej zgody inny podmiot przetwarzający informuje podmiot przetwarzający o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym podmiotowi przetwarzającemu możliwość wyrażenia sprzeciwu wobec takich zmian;

  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;

  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków wynikających z bezpieczeństwa przetwarzania, obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz obowiązku zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie;

  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, a w związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów prawa o ochronie danych.

Załączniki do Polityki Bezpieczeństwa Informacji:

  1. oświadczenie o zapoznaniu się z Polityką Bezpieczeństwa Informacji;

  2. Wzór karty szkolenia RODO;

  3. Ewidencja osób upoważnionych do przetwarzania danych osobowych;

  4. Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem;

  5. Rejestr czynności przetwarzania danych osobowych administratora;

  6. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.