Polityka bezpieczeństwa
Polityka Bezpieczeństwa jest zestawem reguł i praw regulujących sposób zarządzania, przetwarzania, przechowywania i dystrybucji danych osobowych we wszystkich zbiorach zarówno elektronicznych jak i tradycyjnych (papierowych) administrowanych.
Konstytucja Rzeczpospolitej Polskiej,
Rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 9 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Polityka
Bezpieczeństwa zawiera w szczególności:
wykaz budynków, powierzchni w którym przetwarzane są dane osobowe (Załącznik nr 2 do Polityki Bezpieczeństwa);
wykaz zbiorów danych osobowych oraz programów zastosowanych do przetwarzania tych danych (Załącznik nr 5 do Polityki Bezpieczeństwa);
określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Realizując politykę bezpieczeństwa informacji przedsiębiorstwo wykonuje wszelkie czynności mające na celu zapewnienie bezpieczeństwo informacji własnych jak i powierzonych przez klientów poprzez:
przydzielanie dostępu do informacji tylko osobom upoważnionym,
wykonywanie wszelkich czynności będących zgodnymi z wymogami prawa, zapisami umowy oraz regulacjami wewnętrznymi jednostki.
Rozdział I
Podstawa prawna przetwarzania danych osobowych.
Przetwarzanie danych osobowych w przedsiębiorstwie dopuszczalne jest wyłącznie zgodnie z obowiązującymi przepisami prawa na zasadach określonych ustawą o ochronie danych osobowych, Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
§ 2
Pojęcia i zwroty występujące w niniejszym zarządzeniu:
Administrator (danych) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i środki przetwarzania danych osobowych w Przedsiębiorstwie.
RODO – rozporządzenie parlamentu europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016).
Dane osobowe - to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Osoba jest uznawana za osobę bezpośrednio lub pośrednio identyfikowalną poprzez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznego, fizjologicznego, genetycznego, umysłowego, ekonomicznego, kulturowego lub społecznego. tożsamość tej osoby fizycznej.
Przetwarzanie danych osobowych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
Ograniczenie
przetwarzania
- polega na oznaczeniu przetwarzanych danych osobowych
w
celu ograniczenia ich przyszłego przetwarzania.
Anonimizacja - zmiana danych osobowych w wyniku której dane te tracą charakter danych osobowych.
Zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda musi być udokumentowana we właściwy sposób, aby ją udowodni.
Ocena skutków w ochronie danych - to proces przeprowadzany przez Administratora, jeśli jest wymagany przez obowiązujące prawo i, jeśli to konieczne, z uczestnictwem inspektora ochrony danych, przed przetwarzaniem, w przypadku, gdy istnieje prawdopodobieństwo wysokiego ryzyka dla praw i wolności osób fizycznych jako rodzaju przetwarzania danych osobowych i zachodzi wraz z wykorzystaniem nowych technologii, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania. Proces ten musi ocenić wpływ planowanych operacji przetwarzania na ochronę danych osobowych.
Podmiotem danych jest każda osoba fizyczna, której dane są przedmiotem przetwarzania.
Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, agencja lub jakikolwiek inny organ przetwarzający dane osobowe w imieniu administratora.
Inspektor Ochrony Danych (IOD) - to osoba formalnie wyznaczona przez Administratora w celu informowania i doradzania Administratorowi/pracownikom w zakresie obowiązującego prawa o ochronie danych i niniejszej Polityki oraz w celu monitorowania ich przestrzegania oraz działania jako punkt kontaktowy dla osób przetwarzanych i organu nadzorczego.
Pseudonimizacja - oznacza przetwarzanie danych osobowych w taki sposób (np. poprzez zastępowanie nazw liczbami), że danych osobowych nie można już przypisać do określonego podmiotu danych bez użycia dodatkowych informacji (np. Listy referencyjnej nazwisk i numerów), pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Szczególne kategorie danych osobowych - ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych i obejmują przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej itp.
Profilowanie – jest dowolną forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej.
Naruszenie ochrony danych osobowych - jest to przypadkowy lub niezgodny z prawem incydent prowadzący do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;
1.2 Skróty stosowane w Polityce Bezpieczeństwa.
Użyte w treści Polityki Bezpieczeństwa skróty oznaczają:
Rozporządzenie – Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
ADO – Administrator Danych Osobowych,
Rozdział II
2.1 Zarządzanie przetwarzaniem danych osobowych.
Przedsiębiorstwo jest Administratorem Danych Osobowych.
Administrator Danych Osobowych powołuje Inspektora Danych Osobowych który odpowiada za prawidłowy system zarządzania bezpieczeństwem informacji.
Do zadań Inspektor Ochrony Danych Osobowych należy zapewnienie przestrzegania przepisów o ochronie danych osobowych.
2.3. Zakres przetwarzania danych osobowych.
Polityka Bezpieczeństwa Informacji ma zastosowanie do:
Danych osobowych przetwarzanych w systemach informatycznych oraz w tradycyjnej - papierowej formie oraz przechowywanych na wszelkich nośnikach magnetycznych, optycznych, elektronicznych takich jak: dysk twardy, dyskietka, CD/DVD, pamięć masowa typu flash, a także w książkach i kartotekach ewidencyjnych.
Rozdział III
3.1 Ogólne zasady przetwarzania danych osobowych.
Dane osobowe są przetwarzane w przedsiębiorstwie w celu realizacji zadań i utrwalania pozytywnego wizerunku.
Kaz
dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych.
Rozdział IV
4.1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Środki techniczne i organizacyjne zostały określone w „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w przedsiębiorstwie.
4.2. Analiza zagrożeń dla przetwarzanych i gromadzonych danych osobowych.
Zagrożeniem dla przetwarzanych danych osobowych są:
1) Połączenie z siecią Internet;
2) Pożary, włamania, kradzieże;
3) Błędy ludzkie;
a) świadome:
ujawnienie loginu i hasła do systemu informatycznego współpracownikom i osobom z zewnątrz,
udostępnianie stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,
udostępnianie osobom nieuprawnionym programów komputerowych zainstalowanych w systemie,
przenoszenie programów komputerowych, dysków twardych z jednego stanowiska na inne,
kopiowanie danych na nośniki informacji, kopiowanie na inne systemy celem wyniesienia ich poza obszar przetwarzania danych osobowych,
samowolne instalowanie i używanie jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego,
otwieranie załączników i wiadomości poczty elektronicznej od nieznanych „niezaufanych” nadawców,
używanie nośników danych niesprawdzonych niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą,
wykorzystywanie sieci komputerowej w celach innych, niż zgodnie z przeznaczeniem,
tworzenie kopii zapasowych nie chronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania,
wyrzucanie dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia uniemożliwiającego ich odtworzenie,
pozostawianie dokumentów na biurku po zakończonej pracy, pozostawianie otwartych dokumentów na ekranie monitora bez blokady,
ignorowanie nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych,
b) nieświadome:
zapominanie o wylogowaniu się z systemu komputerowego przed opuszczeniem pomieszczenia,
złe ustawienie monitora komputerowego, które umożliwia wgląd osobom postronnym,
pozostawianie bez nadzoru osób trzecich przebywających w pomieszczeniach, w których przetwarzane są dane osobowe,
pozostawienie zewnętrznych nośników informacji podłączonych do komputera np. pamięć flash, dyskietki i płyty w napędzie,
zapisywanie na kartkach i pozostawianie haseł w miejscach widocznych dla innych osób,
pozostawianie dokumentów, kopii dokumentów zawierające dane osobowe
w drukarkach, kserokopiarkach lub w centrach wydruku,pozostawianie kluczy w drzwiach, szafach, biurkach, zostawianie otwartych pomieszczeń, w których przetwarza się dane osobowe.
4.3. Ochrona danych osobowych przetwarzanych w formie elektronicznej.
Uwzględniając kategorie przetwarzanych danych wprowadza się w Przedsiębiorstwie wysoki poziom bezpieczeństwa ochrony danych osobowych. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, połączone jest z siecią publiczną.
System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
Stosuje się mechanizmy kontroli dostępu do danych osobowych, wprowadzając w tym systemie, rejestrowany dla każdego użytkownika odrębny identyfikator. Dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia przez wprowadzenie hasła;
Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przed utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Usuwa się niezwłocznie po ustaniu ich użyteczności;
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji należy wcześniej pozbawić zapisów tych danych. W przypadku, gdy nie jest to możliwe, uszkodzić w sposób uniemożliwiający ich odczytanie;
Pracownik Przedsiębiorstwa użytkujący komputer przenośny zawierający dane osobowe powinien zachować szczególną ostrożność podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych po odpowiednio uzyskanej zgodzie.
4.4. Ochrona danych osobowych przetwarzanych w formie papierowej.
Dane osobowe przetwarzane i gromadzone przy użyciu tradycyjnych środków pisarskich gromadzone są w rejestrach, zeszytach papierowych oraz segregatorach. Dane te należy przechowywać w szafach zamykanych na zamek.
Obszar przetwarzania i gromadzenia danych osobowych zabezpiecza się przed dostępem osób nieuprawnionych. Przebywanie osób nieupoważnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą administratora danych.
4.5. Procedury nadawania uprawnień do przetwarzania danych osobowych.
Do przetwarzania danych, zgodnie z przepisami mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych, który prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:
Imię
i nazwisko osoby upoważnionej;
Datę
nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych,
Identyfikator,
jeżeli dane są przetwarzane w systemie informatycznym.
Wzór
upoważnienia do przetwarzania danych osobowych stanowi Załącznik
Nr 1 do niniejszej Polityki.
4.6. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe oraz sposób zabezpieczeń poszczególnych budynków, pomieszczeń lub ich części obejmuje dokumentacja prowadzona przez Administratora Danych Osobowych, zgodnie z wzorem stanowiącym odpowiednio Załącznik Nr 2 i 3 do niniejszej Polityki.
4.7. Ochrona fizyczna pomieszczeń, w których przetwarzane są dane osobowe.
Budynki i pomieszczenia, w których przetwarzane są dane osobowe, powinny być zabezpieczone w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, na czas nieobecności osób upoważnionych;
Pomieszczenia i budynki, lub ich części, o których mowa w ust. 1 muszą mie
, co najmniej następujące zabezpieczenia:
a) drzwi do pomieszczeń, w których przetwarzane są dane osobowe winny być zamykane na klucz,
b) dokumenty z danymi osobowymi powinny być zamykane na klucz w szafach.
d) budynek objęty jest alarmem.
Klucze do szaf na dokumenty, należy przechowywać w danym pomieszczeniu w zamkniętej szufladzie na zamek patentowy. Klucz do tej szuflady przechowują pracownicy tego pomieszczenia w znanym tylko sobie miejscu. Po zakończeniu pracy osoby odpowiedzialne za pomieszczenia, w których są przetwarzane dane osobowe są obowiązane sprawdzić zamknięcie szaf i pomieszczeń.
Administrator Danych Osobowych, zobowiązany jest do prowadzania oraz bieżącej aktualizacji dokumentacji związanej z ochroną danych osobowych zgodnie z wzorem aktualizacji stanowiącym Załącznik Nr 4 do niniejszej Polityki.
Rozdział V
5.1. Udostępnianie danych osobowych.
Udostępnianie danych osobowych podmiotom, osobom spoza Przedsiębiorstwa może odbywać się wyłącznie za pośrednictwem i zgodą Administratora Danych Osobowych, zgodnie z przepisami ustawy. Dane osobowe udostępnia się na pisemnie umotywowany wniosek lub w przypadku udostępniania danych podmiotom instytucjonalnych – na podstawie umowy o powierzenie danych osobowych. Rejestr przedmiotowych wniosków i umów prowadzi Administrator Danych Osobowych.
Rozdział VI
Ocena skutków (analiza ryzyka)
Ocena skutków jest formalną procedurą przeprowadzenia analizy ryzyka za wykonanie której odpowiada Administrator. Jeżeli Administrator nie jest zobowiązany do przeprowadzenia oceny skutków, może mimo to stosować poniższą procedurę do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalności.
W
przypadku powołania Inspektora Ochrony Danych – ocena skutków
musi być wykonana
z
jego współudziałem.
Opis operacji przetwarzania (inwentaryzacja aktywów)
W celu dokonania analizy ryzyka wymagane jest zidentyfikowanie danych osobowych, które należy zabezpieczy
. Dane te w postaci zbiorów (kategorii osób) zostały wykazane w załączniku nr 5 - Wykaz zbiorów danych osobowych.
Ocena niezbędności oraz proporcjonalności
W ramach przeprowadzenia oceny skutków (analizy ryzyka) Administrator Danych Osobowych przetwarzający dane osobowe zobowiązany jest do spełnienia wobec nich obowiązków prawnych. W szczególności należy zapewni, że:
dane te są legalnie przetwarzane
dane te są adekwatne w stosunku do celów przetwarzania
dane te są przetwarzane przez określony czas
wobec tych osób wykonano tzw. obowiązek informacyjny wraz ze wskazaniem ich praw (np. prawa dostępu do danych, przenoszenia, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, odwołania zgody)
opracowano klauzule informacyjne dla powyższych osób
Analiza ryzyka
Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Wyznaczenie zagrożeń
Administrator jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania.
Wyliczenie ryzyka dla zagrożeń
Administrator określa Prawdopodobieństwo (P) wystąpienia poszczególnych zagrożeń w zbiorze lub w procesie przetwarzania
Proponowaną skalę prawdopodobieństwa prezentuje Tabela A
Administrator określa Skutki (S) wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne
Proponowaną Skalę skutków prezentuje Tabela B
Administrator wylicza Ryzyka (R) dla wszystkich zagrożeń i ich skutków w/g formuły: R = P * S
Tabela A PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA |
SKALA (WAGA) |
zagrożenie niskie |
1 |
zagrożenie średnie |
2 |
zagrożenie wysokie |
3 |
Tabela B SKUTKI WYSTĄPIENIA ZAGROŻENIA |
SKALA (WAGA) |
małe (do 10000 PLN, incydent prasowy lokalny) |
1 |
średnie (10000-100000 PLN, incydent prasowy ogólnopolski) |
2 |
duże (od 100000 PLN, naruszenie prawa) |
3 |
Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem.
Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące dalszego postępowania z ryzykiem.
Proponowaną skalę Ryzyka prezentuje Tabela C.
Tabela C POZIOM RYZYKA
WARTOŚĆ [R = P*S]
ryzyko pomijalne i akceptowalne (akceptujemy)
1-2
ryzyko jest opcjonalne (akceptujemy albo obniżamy)
3-6
ryzyko jest nieakceptowalne (musimy obniży
)
9
Reakcja na wartość ryzyka
Akceptacja ryzyka – zabezpieczenia są właściwe – brak potrzeby stosowania dodatkowych zabezpieczeń
Działania obniżające ryzyko, które może zastosować Administrator:
Przeniesienie ryzyka (outsourcing, ubezpieczenie)
Unikanie – eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji)
Redukcja – zastosowanie zabezpieczeń w celu obniżenia ryzyka tj.szyfrowanie danych
Rozdział VII
7.1. Odpowiedzialność karna i dyscyplinarna.
Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi określonymi w art. 49 - 54 ustawy oraz w art. 130, 266 – 269, 287 Kodeksu Karnego;
2) Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych obowiązujących w Przedsiębiorstwie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną