28.11.2016
POLITYKA BEZPIECZEŃSTWA


Uwagi ogólne

Zgodnie z § 3 i § 4 Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Pojęcie „polityka bezpieczeństwa” użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy, polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Polska Norma PN-ISO/IEC 17799:2005, określająca praktyczne zasady zarządzania bezpieczeństwem informacji w obszarze technik informatycznych, jako cel polityki bezpieczeństwa wskazuje „zapewnienie kierunków działania i wsparcie kierownictwa dla bezpieczeństwa informacji ”. Należy przy tym podkreślić, że dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum w powyższej normie wskazuje się, aby dokument określający politykę bezpieczeństwa zawierał:

   a) mechanizm umożliwiający współużytkowanie informacji
   b) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji w odniesieniu do strategii i wymagań biznesowych;
   c) strukturę wyznaczania celów stosowania zabezpieczeń, w tym strukturę szacowania i zarządzania ryzykiem;
   d) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, norm i wymagań zgodności mających szczególne znaczenie dla organizacji, zawierające:
      1) zgodność z prawem, regulacjami wewnętrznymi i wymaganiami wynikającymi z umów;
      2) wymagania dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa;
      3) zarządzanie ciągłością działania biznesowego;
      4) konsekwencje naruszenia polityki bezpieczeństwa;
   e) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania incydentów związanych z bezpieczeństwem informacji;
   f) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dotyczących poszczególnych systemów informatycznych lub zalecanych do przestrzegania przez użytkowników zasad bezpieczeństwa.

Powyższe zalecenia w pełni można stosować do dokumentacji polityki bezpieczeństwa, o której mowa w § 4 rozporządzenia. Dokument określający politykę bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania. Jeżeli ma to miejsce, to rzadziej dochodzi do ich naruszenia.
Dokument, o którym mowa w § 4 rozporządzenia, w zakresie przedmiotowym powinien koncentrować się na bezpieczeństwie przetwarzania danych osobowych, co wynika z art. 36 ustawy. Prawidłowe zarządzanie zasobami, w tym również informacyjnymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobóworaz określenia miejsca i sposobu ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania. Stąd też w § 4 rozporządzenia wskazano, że polityka bezpieczeństwa powinna zawierać w szczególności następujące punkty:

   1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
   2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
   3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
   4) sposób przepływu danych pomiędzy poszczególnymi systemami;
   5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.

 

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

Określając obszar przetwarzania danych osobowych, należy pamiętać, iż zgodnie z ustawą, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno te miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje), jak również te, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Zgodnie z treścią § 4 punkt 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) miejsce przetwarzania danych osobowych powinno być określone poprzez wskazanie budynków, pomieszczeń lub części pomieszczeń, w których przetwarza się dane osobowe.  Do obszaru przetwarzania danych należy zaliczyć również pomieszczenia, gdzie składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami zawierającymi dane osobowe). Do obszaru przetwarzania danych osobowych ich administrator powinien zaliczyć również miejsce w sejfie bankowym, archiwum itp., jeśli wykorzystywane są one np. do przechowywania elektronicznych nośników informacji zawierających kopie zapasowe danych przetwarzanych w systemie informatycznym czy też do składowania innych nośników danych, np. dokumentów źródłowych.

Jeżeli dane osobowe przetwarzane są w systemie informatycznym, do którego dostęp poprzez sieć telekomunikacyjną posiada wiele podmiotów, to w polityce bezpieczeństwa informacje o tych podmiotach (jego nazwa, siedziba, pomieszczenia, w których przetwarzane są dane) powinny być również wymienione jako obszar przetwarzania danych. Wymóg powyższy nie dotyczy: sytuacji udostępniania danych osobowych użytkownikom, którzy dostęp do systemu uzyskują tylko z prawem wglądu w swoje własne dane po wprowadzeniu właściwego identyfikatora i hasła (np. systemów stosowanych w uczelniach wyższych do udostępniania studentom informacji o uzyskanych ocenach), a także systemów, do których dostęp z założenia ma charakter publiczny (np. książka telefoniczna zamieszczona w Internecie). W wyżej wymienionych sytuacjach wystarczające jest wskazanie zarówno tych budynków i pomieszczeń, gdzie dane są przetwarzane przez administratorów systemu informatycznego, jak i tych, w których dostęp do danych uzyskują osoby posiadające szerszy zakres uprawnień niż tylko wgląd do swoich własnych danych lub danych udostępnianych publicznie.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Ważnym elementem identyfikacji zasobów informacyjnych jest wskazanie nazw zbiorów danych oraz systemów informatycznych używanych do ich przetwarzania. Stąd też, oprócz wskazania obszaru przetwarzania danych, polityka bezpieczeństwa powinna identyfikować zbiory danych osobowych oraz systemy informatyczne używane do ich przetwarzania.          Gdy system zbudowany jest z wielu modułów programowych i mogą one pracować niezależnie – np. mogą być instalowane na różnych stacjach komputerowych, wówczas wskazanie systemu powinno być wykonane z dokładnością do poszczególnych jego modułów. Należy zauważyć również, iż jeden program może przetwarzać dane zawarte zarówno w jednym, jak i wielu zbiorach. Sytuacja może być również odwrotna, kiedy to wiele różnych programów przetwarza dane stanowiące jeden zbiór. Programami tymi są najczęściej moduły zintegrowanego systemu. Każdy taki moduł przeznaczony jest do wykonywania określonych, wydzielonych funkcjonalnie zadań. Przykładem mogą być systemy kadrowy oraz płacowy, które często występują jako jeden zintegrowany system kadrowo-płacowy. Programy informatyczne mogą być zintegrowane tworząc jeden system, z jednym lub wieloma zbiorami danych.
Z powyższego wynika, że w części polityki bezpieczeństwa identyfikującej zbiory danych osobowych oraz stosowane do ich przetwarzania programy powinny być zamieszczone nazwy zbiorów danych osobowych oraz nazwy używanych do ich przetwarzania programów komputerowych. Wykaz ten powinien zawierać informacje precyzujące lokalizację miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania.

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

Zgodnie z § 4 pkt 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) dla każdego zidentyfikowanego zbioru danych powinien być wskazany opis jego struktury i zakres informacji w nim gromadzonych. Opisy poszczególnych pól informacyjnych w strukturze zbioru danych powinny jednoznacznie wskazywać, jakie kategorie danych są w nich przechowywane. Opis pola danych, gdy możliwa jest niejednoznaczna interpretacja jego zawartości, powinien wskazywać nie tylko kategorię danych, ale również format jej zapisu i/lub określone w danym kontekście znaczenie.

Należy pamiętać, że opis struktury zbiorów, o którym mowa w § 4 pkt 3 rozporządzenia, powinien być przedstawiony w sposób czytelny i zrozumiały.

 

Sposób przepływu danych pomiędzy poszczególnymi systemami (§ 4 pkt 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

 

W punkcie tym należy przedstawić sposób współpracy pomiędzy różnymi systemami informatycznymi oraz relacje, jakie istnieją pomiędzy danymi zgromadzonymi w zbiorach, do przetwarzania których systemy te są wykorzystywane. Przedstawiając przepływ danych, można posłużyć się np. schematami, które wskazują, z jakimi zbiorami danych system lub moduł systemu współpracuje, czy przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest jednokierunkowy (np. informacje pobierane są tylko do odczytu) czy dwukierunkowy (do odczytu i do zapisu). W opisie sposobu przepływu danych pomiędzy poszczególnymi systemami należy zamieścić również informacje o danych, które przenoszone są pomiędzy systemami w sposób manualny (przy wykorzystaniu zewnętrznych nośników danych) lub półautomatycznie (za pomocą teletransmisji, przy wykorzystaniu specjalnych funkcji eksportu/importu danych). Taki przepływ występuje np. często pomiędzy systemami kadrowym i płacowym (rys. 1 pkt f) oraz pomiędzy systemami kadrowym i płacowym a systemem płatnik służącym do rozliczeń pracowników z ZUS. Dla identyfikacji procesów przetwarzania danych osobowych szczególne znaczenie ma specyfikacja ich przepływu w systemach z rozproszonymi bazami danych. Chodzi tu o sytuację, w której poszczególne podzbiory zlokalizowane są w różnych miejscach oddalonych od siebie terytorialnie i mogą zawierać, w zależności od lokalizacji, różne informacje (tzw. niejednorodne oraz federacyjne bazy danych). Dla systemów korporacyjnych o zasięgu międzynarodowym, informacja o przepływie danych pomiędzy oddziałami korporacji znajdującymi się w państwach nienależących do Europejskiego Obszaru Gospodarczego musi być traktowana jako przepływ danych do państwa trzeciego z wynikającymi z tego tytułu konsekwencjami. W polityce bezpieczeństwa w punkcie określającym sposób przepływu danych pomiędzy systemami nie jest wymagane szczegółowe omawianie rozwiązań technologicznych. Najistotniejsze jest wskazanie zakresu przesyłanych danych, podmiotu lub kategorii podmiotów, do których są one przekazywane oraz ogólnych informacji na temat sposobów ich przesyłania (Internet, poczta elektroniczna, inne rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji.

Przepływ danych pomiędzy poszczególnymi systemami informatycznymi, z punktu widzenia analizy zakresu przetwarzanych danych, można porównać do opisu relacji pomiędzy poszczególnymi polami informacyjnymi w strukturach zbiorów danych. Przy przepływie danych pomiędzy systemami informatycznymi relacje, jakie powstają pomiędzy danymi przetwarzanymi w zbiorach poszczególnych systemów, nie wynikają z ich struktury. W razie przepływu danych pomiędzy systemami dane z poszczególnych zbiorów łączone są dynamicznie poprzez wykonanie określonych funkcji systemu lub odpowiednio zdefiniowanych procedur zewnętrznych.

 

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych

W tej części polityki bezpieczeństwa należy określić środki techniczne i organizacyjne niezbędne dla zapewnienia przetwarzanym danym poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności. Środki te powinny zapewnić zachowanie ww. właściwości dla wszelkich działań związanych z przetwarzaniem danych osobowych. Należy pamiętać, iż środki te powinny być określone po uprzednim przeprowadzeniu wnikliwej analizy zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych. Analiza ta powinna obejmować cały proces przetwarzania danych osobowych i uwzględniać podatność stosowanych systemów informatycznych na określone zagrożenia. Przez „podatność systemu” należy rozumieć słabość w systemie, która może umożliwić zaistnienie zagrożenia, np. włamania do systemu i utraty poufności danych. Podatność taka może np. polegać na braku mechanizmu kontroli dostępu do danych, co może spowodować zagrożenie przetwarzania danych, przez nieupoważnione osoby. Analizując środowisko przetwarzania danych, należy ocenić ryzyko zaistnienia określonych zagrożeń. Ryzykiem tym może być prawdopodobieństwo wykorzystania określonej podatności systemu na istniejące w danym środowisku zagrożenia. Dlatego zastosowane środki techniczne i organizacyjne powinny być adekwatne do zagrożeń wynikających ze sposobu przetwarzania danych i środowiska, w jakim ten proces ma miejsce, a także do kategorii przetwarzanych danych osobowych. Środki te powinny zapewniać rozliczalność wszelkich działań (osób i systemów) podejmowanych w celu przetwarzania danych osobowych. Powinny one spełniać wymogi określone w art. 36–39 ustawy oraz być adekwatne do wymaganych poziomów bezpieczeństwa, o których mowa w § 6 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).W odniesieniu do rozliczalności działań podejmowanych przy przetwarzaniu danych osobowych zastosowane środki powinny w szczególności wspomagać kontrolę administratora nad tym, jakie dane osobowe i przez kogo zostały do zbioru wprowadzone (art. 38 ustawy).

Ryzykiem dla przetwarzania danych osobowych w systemie informatycznym podłączonym do sieci Internet jest np. możliwość przejęcia lub podglądu tych danych przez osoby nieupoważnione. Ryzyko to będzie tym większe im mniej skuteczne zabezpieczenia będą stosowane. Sygnalizacja istniejącego zagrożenia pozwala podjąć odpowiednie działania zapobiegawcze. Ważna jest często sama świadomość istnienia określonych zagrożeń, wynikających np. z przetwarzania danych w systemie informatycznym podłączonym do sieci Internet czy też spowodowanych stosowaniem niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych. Zidentyfikowane zagrożenia można minimalizować m.in. poprzez stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall) itp. Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych itp.) wybór właściwych środków wymaga posiadania wiedzy specjalistycznej. W takich sytuacjach prawidłowe opracowanie polityki bezpieczeństwa przetwarzania danych osobowych jest procesem złożonym, wymagającym m.in. znajomości podstawowych pojęć i modeli używanych do opisywania sposobów zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele, o których mowa, jak również zagadnienia dotyczące zarządzania i planowania bezpieczeństwa systemów informatycznych, opisane zostały m.in. w Polskich Normach.

Podczas określania środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności i integralności przetwarzanych danych, jak również rozliczalności podejmowanych w tym celu działań, należy kierować się m.in. klasyfikacją poziomów bezpieczeństwa wprowadzoną w § 6 rozporządzenia. Dla każdego z wymienionych tam poziomów (powinny być one zidentyfikowane po wykonaniu zadań wymienionych w punktach 2, 3 i 4 polityki bezpieczeństwa) niezbędne jest zapewnienie środków bezpieczeństwa spełniających co najmniej minimalne wymagania określone w załączniku do rozporządzenia.
Opis środków, o których mowa w § 4 pkt 5 rozporządzenia, powinien obejmować zarówno środki techniczne, jak i organizacyjne. Przykładowo w odniesieniu do stosowanych mechanizmów uwierzytelniania powinny być wskazane i opisane zarówno zagadnienia dotyczące uwierzytelnienia użytkowników w systemach informatycznych, jak i odnoszące się do uwierzytelnienia przy wejściu (wyjściu) do określonych pomieszczeń, a także sposób rejestracji wejść (wyjść) itp. W wypadku stosowania narzędzi specjalistycznych (np. zapór ogniowych – chroniących system informatyczny przed atakami z zewnątrz; systemów wykrywania intruzów – ang. Intrusion Detection System – IDS), należy wskazać w polityce bezpieczeństwa, czy środki takie są stosowane, w jakim zakresie i w odniesieniu do jakich zasobów. W polityce bezpieczeństwa – dokumencie udostępnianym do wiadomości wszystkim pracownikom – nie należy opisywać szczegółów dotyczących charakterystyki technicznej i konfiguracji stosowanych narzędzi. Dokumenty tego dotyczące powinny być objęte stosowną ochroną przed dostępem do nich osób nieupoważnionych.

Zapewnienie dokumentacji i ciągłości doskonalenia zabezpieczeń

W celu należytego wykonania ww. zadań art. 36 ust. 2 ustawy zobowiązuje administratorów danych do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zastosowane w celu zapewnienia ich ochrony. Z kolei art. 36 ust. 2 ustawy przewiduje możliwość powołania administratora bezpieczeństwa informacji przez administratora danych, nadzorującego przestrzeganie przyjętych zasad i monitorującego skuteczność działania zastosowanych środków ochrony. Jest to konieczne ze względu na złożoność problemu stosowania zabezpieczeń, na którą składają się czynniki stawiające broniącego na pozycji gorszej od atakującego. Do czynników tych należą: asymetria, zależność od otoczenia oraz ciągłość działania. Asymetria działań mających na celu zabezpieczenie systemu polega na tym, że: aby skutecznie zabezpieczyć system należy usunąć wszystkie słabości, podczas gdy wystarczy znaleźć jedną, aby skutecznie zaatakować.

Zależność od otoczenia – to z kolei wpływ całego otoczenia systemu, środowiska informatycznego, w jakim dany system przetwarzania danych funkcjonuje, na jego bezpieczeństwo. Inne zagrożenia wystąpią np. w sieci lokalnej określonej organizacji, niemającej styku z siecią publiczną, a inne, gdy dany system funkcjonuje w środowisku sieci Internet.

Ciągłość działania to z kolei wymóg permanentnego monitorowania i aktualizacji zastosowanych środków bezpieczeństwa. Jakakolwiek zmiana struktury systemu czy też dodanie nowych usług każdorazowo wymaga jego weryfikacji pod względem zagrożeń i ryzyka, na jakie przetwarzane dane mogą być narażone i tym samym – weryfikacji zastosowanych środków bezpieczeństwa.

Źródło:

Giodo.gov.pl

 

Pomagamy stworzyć dokumentację bezpieczeństwa

 

Jeśli macie Państwo  problemy z przygotowaniem dokumentacji przetwarzania danych osobowych (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnień, ewidencji upoważnień, umów powierzenia danych)  oferujemy usługi w tym zakresie.
Proponujemy pomoc w zakresie :

– weryfikacji bieżącej dokumentacji z naniesieniem uwag o błędach– poprawienie dokumentacji

– stworzeniu prawem wymaganej dokumentacji od podstaw

Dokumentacja jest przygotowywana indywidualnie przy udziale klienta, który musi udzielić wielu informacji i współpracować na każdym etapie tworzenia dokumentów.

 

oprac. Rafał Andrzejewski

 Podobne strony

Przeglądasz stronę: Nowości

Copyright (c) 2020 Centrum Promocji i Szkolenia SYSTEM s.c. | 32-087 Zielonki, ul. Wiarusa 11 lok. 1, tel.12 413 81 82, 12 410 45 91 | System CMS: ICEportal 3 CMS | Polityka prywatności
Zamknij

Ten serwis internetowy wykorzystuje pliki cookies m.in. w celu dostosowania serwisu do Twoich potrzeb, realizacji zamówień oraz w celach statystycznych. W przeglądarce internetowej, w której otwierasz nasz serwis możesz zmienić ustawienia dotyczące cookies

Korzystając z tego serwisu bez zmiany ustawień dotyczących cookies wyrażasz zgodę na ich używanie i zapisywanie w pamięci urządzenia. Więcej informacji znajdziesz w Polityce prywatności.