Polityka Bezpieczeństwa

Polityka Bezpieczeństwa

 

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

 

INFORMACJE OGÓLNE

 

1.    W związku z wejściem w życie ustawy z dnia 10 maja 2018 r. o Ochronie Danych Osobowych, Rozporządzenia PE i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r (RODO) oraz obowiązywaniem § 3, 4 i 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) wprowadza się Politykę bezpieczeństwa ochrony danych osobowych w Yourskillup.pl Sp. z o.o. oraz Instrukcję zarządzania systemem informatycznym załącznik nr 1 do niniejszej Polityki.

2.    Głównym celem wprowadzenia Polityki Bezpieczeństwa jest

Ø  zapewnienie bezpieczeństwa przetwarzanych danych w strukturze podległej Administratorowi Danych Osobowych oraz dostosowanie organizacji do standardów RODO, ustawy o ochronie danych osobowych z 2018 r. oraz aktów wykonawczych.

Ø  Wprowadzenie systemu ochrony danych osobowych,

Ø  Inicjowanie działań podnoszących efektywność i sprawność w zakresie ochrony danych osobowych w Yourskillup.pl Sp. z o.o.

Ø  Wskazanie działań, jakie należy wykonać oraz jakie ustanowić zasady i reguły postępowania, aby administrator danych mógł właściwie wykonywać zadania w zakresie ochrony danych osobowych.

ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA ORAZ ZAKRES ZASTOSOWANIA

 

1.    Dokument opisuje zasady i procedury przetwarzania danych osobowych i danych istotnych oraz zabezpieczenia ich przed nieuprawnionym dostępem

2.    Dokument dotyczy pracowników i współpracowników (niezależnie od formy współpracy) Yourskillup.pl Sp. z o.o. przetwarzających dane osobowe, a także każdej osoby mającej dostęp do tychże danych osobowych.

3.    Dokument może obejmować również przedsiębiorców, którzy zawrą umowę z Yourskillup.pl Sp. z o.o. na podstawie, której powierzone zostaną im dane osobowe na podstawie osobnych przepisów prawa powszechnie obowiązującego lub charakteru wyrażonej zgody.

 

DEFINICJE, TERMINOLOGIA I INFORMACJE DODATKOWE

 

1.    Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000), zwana dalej „Ustawą"

2.    Polityka bezpieczeństwa ochrony danych osobowych –  zestaw wewnętrznych regulacji i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych (zwana dalej „Polityką”).

3.    Dane osobowe –  wszelkie  informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jej imię i nazwisko albo jeden lub wszelkie inne czynniki umożliwiające identyfikację bez nadmiernego nakładu działań.

4.    Dane istotne – wszelkie dane, które zdaniem Administratora Danych Osobowych zasługują na szczególną ochronę oraz wobec których powinny być podjęte kroki w celu zapobieżenia ujawnieniu osobom trzecim. Są to dane takie jak umowy handlowe, dokumenty finansowe etc.

5.    Dane wrażliwe – dane szczególnie chronione przez przepisy prawa. Zgodnie z RODO są to:

a)    dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,

b)    dane genetyczne,

c)    dane biometryczne,

d)    dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

e)    dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

6.    Przetwarzanie danych –  jakiekolwiek operacje wykonywane na danych osobowych, takie jak: utrwalanie, przechowywanie, opracowywanie, zmienianie,  udostępnianie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

7.    Administrator danych osobowych (Administrator) –  Przetwarzający albo podmiot, który zawarł z Przetwarzającym Umowę o powierzeniu przetwarzania danych osobowych.

8.    Zbiór danych –  każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

9.    Zabezpieczenie danych w systemie informatycznym –  wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

10.  System informatyczny –  zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

11.  Hasło użytkownika systemu informatycznego – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

12.  Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

13.  Upoważnienie –  dokument upoważniający pracownika do przetwarzania danych osobowych.

14.  Przetwarzający –YourSkillup.pl Sp. z o.o.

15. Pisemne przekazanie – każda udokumentowana forma dostarczenia informacji (mail, list polecony, pismo za potwierdzeniem odbioru itp.).

OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH

 

1.    Osobami odpowiedzialnymi za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami Ustawy, RODO, Polityki Bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi są :

a)    Administrator Danych Osobowych  jest YourSkillUp.pl Sp. z o.o. z siedzibą w Katowicach (40-156) przy ul. Al. Wojciecha Korfantego 138A (dalej zwana również jako: „Spółka”. Administrator Danych Osobowych przetwarza dane osobowe na podstawie zgody osób przetwarzanych

b)    Inspektor ochrony Danych Osobowych IOD, jeżeli został powołany, odpowiada za wskazanie standardów i nadzorowanie przestrzegania zasad ochrony danych osobowych w firmie oraz za zabezpieczenie danych osobowych w systemach informatycznych i danych utrwalonych w formie papierowej. W przypadku braku powołania IOD, jego funkcje wykonuje Administrator Danych Osobowych Yourskillup.pl Sp. z o.o. lub osoba przez niego wskazana w formie pisemnej.

c)    Osoby wykonujące pracę bądź świadczące usługi cywilnopraw ne na rzecz Administratora danych Osobowych

2.    Osoby wymienione w ust. 1 pkt. c uzyskują stosowne upoważnienie do przetwarzania danych osobowych

3.    W przypadku powołania IOD jest on zobowiązany również do:

a)    zapewniania przestrzegania przepisów o ochronie danych osobowych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),

b)    prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych w sposób określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).

4.    Oświadczenie potwierdzające cele i zasady bezpieczeństwa danych osobowych

5.    Przetwarzający planuje podjęcie odpowiednich działań dla zapewnienia ochrony i bezpieczeństwa danych osobowych przed wszelkimi zagrożeniami, a w szczególności z zagrożeniami wynikającymi z przetwarzania danych w systemach informatycznych. Wyraża się to m.in. poprzez wynajem zewnętrznego serwera zgodnego z przepisami RODO, zapewnienie odpowiednich, zamykanych na klucz szaf, podnoszenie kwalifikacji pracowników w zakresie danych osobowych.

6.    Poprzez zapewnienie bezpieczeństwa należy rozumieć stan uniemożliwiający bezprawne przetwarzanie, zmianę, utratę, uszkodzenie lub zniszczenie danych osobowych w firmie przez osoby postronne lub nieupoważnione.

7.    Niniejszy dokument został przygotowany z myślą o zapewnieniu standardów bezpieczeństwa danych osobowych w firmie Przetwarzającego ze szczególnym uwzględnieniem zgodności z prawem.

 

PRACA Z DANYMI OSOBOWYMI

 

1.    W firmie Przetwarzającego praca z danymi powinna być prowadzona wyłącznie przez osoby, którym wystawiono upoważnienie lub wynika to z przepisów lub charakteru świadczonej umowy. Osoby te mają obowiązek:

Ø  przetwarzać dane osobowe zgodnie z przepisami prawa oraz niniejszą Polityka,

Ø  chronić dane osobowe przed udostępnieniem osobom nieupoważnionym oraz przed zniszczeniem.

Ø  zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia.

Ø  Każda upoważniona osoba, powinna zobowiązać się do zachowania poufności

2.    Upoważnienie zatwierdza Właściciel lub upoważniony przez niego pracownik, upoważnienie przekazywane jest do akt pracowniczych. Upoważnienie traci swą moc prawną w momencie ustania okresu na który zostało udzielone, lub w wypadku:

Ø  ustania stosunku pracy,

Ø  zakończenia wykonywania prac określonych umową zlecenia/umową o dzieło,

Ø  zakończenia kontraktu z kontrahentem zewnętrznym.

3.    Dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

4.    Zbierane dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Rodzaj i treść danych nie może wykraczać poza potrzeby wynikające z celu ich zbierania.

5.    Zabronione jest zbieranie danych nieistotnych, niemających znaczenia, danych o większym stopniu szczegółowości niż to wynika z określonego celu.

 

PRZETWARZANIE DANYCH OSOBOWYCH

 

1.    Dane osobowe przetwarzane są w szczególności poprzez ich:

Ø  utrwalanie,

Ø  przechowywanie,

Ø  opracowywanie,

Ø  udostępnianie,

Ø  usuwanie

Ø  w szczególności w systemie informatycznym i w formie papierowej.

2.    W przypadku powierzenia przetwarzania danych osobowych podmiotom zewnętrznym w imieniu Przetwarzającego na podstawie Umowy, należy zawrzeć pisemną umowę zgodnie z wymogami ustawy i RODO. W przypadku powierzenia przetwarzania danych osobowych kopię stosownej umowy należy przekazać Właścicielowi. Przed podpisaniem Umowy należy zweryfikować, czy podmiot zewnętrzny spełnia ustawowe przesłanki dopuszczalności udostępnienia danych osobowych w drodze Umowy.

3.    Przekazujący upoważnia pracowników do udostępniania danych osobowych osobie, której dane dotyczą. W przypadku wniosku osoby, której dane dotyczą odpowiedź musi nastąpić w terminie 30 dni od daty jego otrzymania. Odpowiedź musi zawierać następujące informacje:

Ø  Jakie dane osobowe zawiera zbiór,

Ø  W jaki sposób zebrano dane,

Ø  W jakim celu i zakresie dane są przetwarzane,

Ø  W jakim zakresie i komu dane zostały udostępnione,

Ø  Inne informacje, o które prosi wnioskujący, o ile nie stanowią tajemnicy przedsiębiorstwa.

Ø  Fakt udostępnienia danych osobowych odnotowuje się w rejestrze udostępnień danych osobowych.

4.    Każdorazowe udostępnienie danych osobowych, na umotywowany wniosek upoważnionych instytucji i organów powinno być konsultowane z Właścicielem lub upoważnionym pracownikiem. Należy odmówić udostępnienia danych osobowych, jeżeli spowodowałoby to:

Ø  ujawnienie wiadomości stanowiących tajemnicę państwową,

Ø  zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi

Ø  lub bezpieczeństwa i porządku publicznego,

Ø  zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,

Ø  istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

Ø  Przed udostępnieniem danych osobowych na wniosek jakiejkolwiek instytucji, należy gruntownie przeanalizować, czy przedmiotowa instytucja posiada stosowną podstawę prawną do wnioskowania o udzielenie tego typu informacji.

5.    Przetwarzanie danych osobowych w systemie informatycznym powinno odbywać się na poziomie wysokim.

6.    Powierzenie przetwarzania danych osobowych osobom, które nie posiadają upoważnienia, a które to muszą dokonać prac serwisowych lub im podobnych możliwe jest wyłącznie:

Ø  po podpisaniu przez taką osobę oświadczenia o zachowaniu poufności albo,

Ø  gdy osoba taka wykonuje powierzone jej czynności pod nadzorem osoby posiadającej ww. upoważnienie,

Ø  gdy wynika to z odrębnych przepisów lub charakteru świadczonej umowy.

7.    W przypadku zbierania danych osobowych od osoby, której dane dotyczą, należy ją poinformować w przystępnej dla niej formie o:

Ø  adresie swojej siedziby i pełnej nazwie,

Ø  celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

Ø  prawie dostępu do treści swoich danych oraz ich poprawiania,

Ø  dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Ø  możliwości wycofania wcześniej udzielonej zgody

8.    Celem zapewnienia prawidłowego przetwarzania danych osobowych w firmie prowadzone są również następujące rejestry i ewidencje:

Ø  Rejestr osób upoważnionych do przetwarzania danych osobowych

Ø  Rejestr podmiotów, którym powierzono przetwarzanie danych osobowych

Ø  Rejestr zbiorów danych prowadzony przez Właściciela,

Ø  Rejestr naruszeń polityki bezpieczeństwa ochrony danych osobowych.

 

TWORZENIE ZBIORÓW DANYCH OSOBOWYCH

1.    Administrator może tworzyć zbiory danych osobowych

2.    Opisy struktur zbiorów danych osobowych oraz powiązań między zbiorami jak również sposób przepływu danych pomiędzy poszczególnymi systemami prowadzi Właściciel. Zbiory danych muszą spełniać przepisy RODO.

3.    W przypadku konieczności wprowadzenia istotnych zmian dotyczących struktury zbioru danych osobowych lub zasad przetwarzania danych w zbiorze pracownik powiadamia o tym powiadamia Właściciela. Zmiany mogą być wprowadzone po uzyskaniu zgody Właściciela.

4.    Usuwanie danych osobowych przetwarzanych w systemach informatycznych wykonywane może być zgodnie z instrukcjami Właściciela oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

 

 

 

 

INSTRUKCJA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

1.    Incydenty naruszenia bezpieczeństwa

Przypadki mogące wskazywać na zaistnienie sytuacji kryzysowych:

Ø  przekazanie osobie nieuprawnionej danych osobowych,

Ø  uzyskanie sygnału o naruszeniu ochrony danych osobowych,

Ø  niedopełnienie obowiązku ochrony danych osobowych,

Ø  zaginięcie dokumentów lub nośnika zawierającego dane osobowe,

Ø  ujawnienie indywidualnych haseł lub udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe,

Ø  próba lub naruszenie integralności danych oraz modyfikacje w dokumentach lub systemie przetwarzania danych,

Ø  wykorzystywanie nielegalnych aplikacji lub elementów nielegalnego oprogramowania,

Ø  wykonanie nieuprawnionych kopii danych osobowych.

2.    Procedura postępowania w sytuacjach kryzysowych

W przypadku ujawnienia incydentu opisanego w pkt b. pracownik powinien:

Ø  powstrzymać się od podjęcia działań skutkujących zniszczeniem lub uszkodzeniem stosownych dowodów,

Ø  zabezpieczyć dowody i zapobiec dalszym zagrożeniom,

Ø  niezwłocznie powiadomić o zaistniałej sytuacji kierownika komórki organizacyjnej w obszarze swojego działania lub w przypadku jego nieobecności bezpośredniego przełożonego.

3.    W przypadku zaistnienia incydentu naruszenia bezpieczeństwa pracownik właściwy do obsługi systemów informatycznych podejmuje działania w zakresie przywrócenia bezpieczeństwa systemu, przeprowadza niezbędne czynności w celu wyjaśnienia incydentu oraz sporządza informację, którą przekazuje Właścicielowi.

 

4.    Właściciel lub osoba przez niego upoważniona sporządza na temat incydentu informację, którą przedstawia organowi zarządzającemu Przetwarzającego oraz poleca podjęcie działań niezbędnych do likwidacji incydentu. W przypadku, gdy incydent powstał w wyniku uchybienia przez pracownika ustalonej polityki mogą zostać podjęte kroki dyscyplinarne.

 

5.    Po rozwiązaniu wszelkich komplikacji wynikających z incydentów naruszających bezpieczeństwo danych osobowych, należy niezwłocznie poinformować zainteresowane osoby, które dane udostępniły.

 

6.    Zadania osób

 

Osobę, która ma zostać upoważniona do przetwarzania danych osobowych kierownik komórki organizacyjnej zapoznaje z:

Ø  Ustawą z dnia 10 maja 2018 o Ochronie danych osobowych.

Ø  Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024),

Ø  Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719),

Ø  Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745),

Ø  niezbędną dokumentacją polityki bezpieczeństwa ochrony danych osobowych.

7.    Po zapoznaniu się z wyżej wymienionymi dokumentami osoba kierująca komórką organizacyjną wnioskuje do Właściciela o wydanie upoważnienia

8.    Pracownikowi wydaje się upoważnienie.

9.    Inne zagrożenia i ochrona przed nimi

10.  Dokumenty oraz nośniki zawierające dane osobowe przechowywane są w wydzielonym pomieszczeniu, do którego dostęp mają wyłącznie osoby upoważnione, na należycie zabezpieczonych urządzeniach do przechowywania danych cyfrowych, takich jak serwery spełniające standardy RODO, w specjalistycznych szafach.

 

WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH

 

1.    Dane osobowe przechowywane w systemach informatycznych nie są przetwarzane w sposób zautomatyzowany. 

2.    Zbiorami danych osobowych objęte są przede wszystkim dane osobowe pracowników oraz kontrahentów Administratorów Danych Osobowych przekazane do przetwarzania na mocy Umowy.

3.    Zbiór danych osobowych przechowywany jest w siedzibie, tj. pod adresem: ul. Korfantego 138A 40-156 Katowice

 

OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH

 

1.    Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się szczegółowe rozwiązania techniczne i organizacyjne przedstawione w niniejszej Polityce oraz Instrukcji zarządzania systemem informatycznym.

2.    Dane osobowe zapisywane na nośniku elektronicznym należy szyfrować lub zabezpieczyć hasłem. Nośniki wykorzystywane do celów operacyjnych należy przechowywać, w czasie nieobecności w pomieszczeniu osoby upoważnionej, w zamykanych na klucz szafach lub sejfach. W przypadku, gdy zbiór danych osobowych był zapisany na nośniku w sposób trwały i nie będzie dalej wykorzystywany, należy go zniszczyć fizycznie po skopiowaniu danych na dysk twardy stacji roboczej (serwera), wprowadzeniu do systemu, aplikacji itp.

3.    Dla zabezpieczenia zbiorów danych osobowych wprowadza się system uwierzytelniania użytkowników zabezpieczony, co najmniej 8-znakowym hasłem zawierającym małe i wielkie litery oraz cyfry i znaki specjalne.

4.    Zarządzanie stacjami roboczymi i uprawnieniami użytkowników powinno odbywać się centralnie z wykorzystaniem dostępnych mechanizmów. Stacje robocze i serwery monitorowane są przez system ochrony antywirusowej oraz jednocześnie powinno się stosować system śledzenia, wykorzystania sprzętu i oprogramowania. Komunikacja pomiędzy stacjami roboczymi i serwerami odbywa się w oparciu o bezpieczne protokoły transmisji danych. Styk sieci lokalnej z siecią publiczną chroniony jest przez zastosowanie zapory ogniowej (firewall) oraz jej bieżący monitoring.

 

5.    Komunikacja z siecią publiczną powinna odbywać się przez jeden punkt dostępu. Porty protokołu TCP/IP, które nie są wykorzystywane do transmisji danych są blokowane. Na urządzeniach sieciowych włączono logowania na podstawie kodu i hasła. Adresy protokołu TCP/IP powinny być nadawane centralnie i otrzymać je mogą wyłącznie urządzenia, których adresy fizyczne zarejestrowano w bazie danych MAC adresów.

6.    Wprowadza się mechanizm domeny dla zarządzania stacjami i użytkownikami sieci. Każdy użytkownik sieci powinien posiadać własny identyfikator i hasło, którego zmianę wymusza system zarządzania siecią. Dla ewentualnych użytkowników korzystających z tych samych stacji roboczych wprowadza się mechanizm identyfikacji i autoryzacji. Wprowadza się powszechny system kontroli antywirusowej – zarządzany centralnie. Dostęp do danych w zbiorach danych osobowych przez użytkowników systemów możliwy jest wyłącznie za pośrednictwem aplikacji służących do przetwarzania tych zbiorów. W przypadku dłuższej nieaktywności użytkownika wprowadza się mechanizm blokady stacji roboczych.

7.    Identyfikator użytkownika wprowadzającego dane oraz data wykonania operacji na danych są automatycznie rejestrowane. Wprowadza się różne poziomy uprawnień dostępu do danych. Wykonanie czynności administracyjnych na bazach danych jest możliwe wyłącznie z konsoli administracyjnej serwerów, a nie z poziomu stacji klienckich. Operacje wykonywane na danych mają charakter transakcyjny. Informacja o transakcjach wykonywanych na danych zapisywana jest na logach transakcyjnych.

 

8.    Mechanizm zabezpieczania i uwierzytelniania użytkowników oraz procedury postępowania zostały szczegółowo opisane w Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji.

 

9.    W sytuacji przetwarzania danych osobowych, przez pracowników na komputerach przenośnych lub dokumentach papierowych poza obszarem przetwarzania danych osobowych, są oni zobowiązani chronić nośnik oraz dane przed utratą i dostępem osób nieuprawnionych. W tym do dodatkowego zabezpieczenia hasłem plików lub folderów zawierających dane osobowe.

 

10.  Głównym sposobem pracy w oparciu o dane osobowe przetwarzane w systemie informatycznym jest odmiejscowienie dostępu do zasobów.

11. Dokumenty papierowe zawierające dane osobowe powinny być chronione przed dostępem osób nieuprawnionych podczas ich przetwarzania. Dokumenty papierowe z danymi osobowymi, w czasie nieobecności w pomieszczeniu osoby upoważnionej do przetwarzania danych osobowych, muszą być przechowywane w zamykanych na klucz sprzętach biurowych.

12. Dokumenty lub nośniki danych zawierające dane osobowe powinny być komisyjnie archiwizowane lub niszczone w sposób gwarantujący brak możliwości odczytania danych osobowych zawartych w dokumentach lub nośnikach elektronicznych.

13. Monitorowanie ochrony danych osobowych powinno być prowadzone na bieżąco przez pracowników, podczas audytów wewnętrznych oraz w innej formie określonej przez Właściciel, osobę kierującą obszarem informatyki.

14. Nadzór nad właściwym funkcjonowaniem systemu informatycznego, w którym przetwarzane są dane osobowe prowadzony jest przez osobę kierującą obszarem informatyki w firmie lub ASI. W przypadku wystąpienia nieprawidłowości ASI niezwłocznie informuje osobę kierującą obszarem informatyki w firmie, który uruchamia działania zmierzające do usunięcia nieprawidłowości,

 

ODPOWIEDZIALNOŚĆ DYSCYPLINARNA I KARNA

 

 Za naruszenie wymogów niniejszej Polityki pracownik podlega odpowiedzialności dyscyplinarnej.

Niezależnie od tego, zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, naruszenie jej przepisów jest zagrożone odpowiedzialnością karną i odpowiedzialnością administracyjną.

 

UWAGI KOŃCOWE

1.    Wątpliwości, dotyczące interpretacji lub zastosowania przepisów Polityki wyjaśnia Właściciel lub wyznaczony przez niego pracownik.

2.    Tekst Polityki powinien zostać udostępniony użytkownikom w taki sposób, aby mogli się z nim zapoznać i wdrożyć w życie jej postanowienia. Jednocześnie tekst Polityki stanowi tajemnicę Przetwarzającego w rozumieniu tajemnicy przedsiębiorstwa zgodnie z ustawą z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.

 

 

AKTY PRAWNE I DOKUMENTY ZWIĄZANE

 

1.    Konstytucja Rzeczypospolitej Polskiej.

2.    Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 ze zm.).

3.    Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).

4.    Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

5.    Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719),

6.    Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r., poz. 745).


 

Załącznik Nr 1 – Instrukcja zarządzania systemem informatycznym.

 

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

 

Opracowana zgodnie z §3 ust.1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024).

 

§ 1

Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem

 

1.       Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu.

2.       Każdy identyfikator użytkownika zabezpieczony jest hasłem.

3.       Administrator Danych Osobowych stosuje następujące zasady tworzenia hasła:

a)    hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów,

b)    hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,

c)    hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury,

d)    hasło nie może być jednakowe z identyfikatorem użytkownika,

e)    hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika.

4.       Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności.

5.       Zaleca się zmienianie hasła nie rzadziej niż co 30 dni. Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie.

6.       W przypadku złamania poufności hasła, użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie Administratora Danych.

7.       Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło.

 

§ 2

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych

 

1.       Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić Administratora Systemów Informatycznych.

2.       Przystępując do pracy w systemie informatycznym służącym do przetwarzania danych osobowych, użytkownik jest zobowiązany wprowadzić swój identyfikator oraz hasło dostępu. Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika.

3.       W przypadku opuszczenia stanowiska pracy trwającego dłużej niż 1 h, użytkownik musi wylogować się z systemu informatycznego służącego do przetwarzania danych osobowych lub danych istotnych.

4.       Zakończenie pracy w systemie informatycznym służącym do przetwarzania danych osobowych następują poprzez wylogowanie się z tego systemu. Za wykonanie kopii danych odpowiedzialny jest Administrator Systemów Informatycznych. Użytkownik może wykonywać kopie tylko pod nadzorem Administratora Systemów Informatycznych.

 

§ 3

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

 

1.       Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest Administrator Systemów Informatycznych systemu informatycznego służącego do przetwarzania danych osobowych.

2.       Kopie zapasowe powinny być kontrolowane przez Administratora Systemów Informatycznych, w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym.

3.       Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych lub danych istotnych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.

4.       W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych.

 

§ 4

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

 

1.       Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie.

2.       Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa.

3.       Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe, a także wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa, w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem.

4.       W przypadku uszkodzenia lub zużycia nośnika informacji zwierających dane osobowe lub dane istotne należy go fizycznie zniszczyć tak, aby nie było możliwe odczytanie danych.

 

§ 5

Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych

 

1.       Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych stosowane jest oprogramowanie antywirusowe.

2.       Każdy zbiór wczytywany do komputera, w tym także wiadomość e-mail, musi być przetestowany programem antywirusowym.

3.       Na każdym stanowisku wyposażonym w dostęp do sieci Internet musi być zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.

4.       Aktualizacje oprogramowania antywirusowego powinno odbywać się nie rzadziej niż raz w miesiącu.

 

§ 6

Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia

 

1.       W systemie informatycznym służącym do przetwarzania danych osobowych odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia.

2.       W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, Administrator Danych Osobowych odnotowuje je w rejestrze odbiorców danych osobowych.

3.       W rejestrze odnotowywane są imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. Rejestr prowadzony w formie elektronicznej będzie przekazywany w formie wydruku z systemu informatycznego na każdorazowe żądanie Inspektora Ochrony Danych.

 

 

§ 7

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

 

1.       Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce Bezpieczeństwa przez firmy zewnętrzne na podstawie zawartych umów. W umowie musi znajdować się zapis o powierzeniu danych osobowych.

2.       W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności Administratora Danych Osobowych.

3.       Przeglądy techniczne wykonywane muszą być nie rzadziej niż raz w roku.

4.       Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni Administrator Systemów Informatycznych.

5.       Zabronione jest wykonywanie przeglądów i konserwacji systemów informatycznych służących do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych samodzielnie przez pracownika lub współpracownika Administratora Danych Osobowych.

 

§ 8

Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych

 

1.       Administrator Danych Osobowych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.

2.       Należy instalować zalecane przez producentów oprogramowania poprawki i uaktualnienia systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania.


Załącznik Nr 2 – Struktura zbiorów danych osobowych.

 

Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych

 

1.    Imię

2.    Nazwisko,

3.    Telefon kontaktowy

4.    Adres poczty elektronicznej

5.    Data urodzenia

6.    PESEL

7.    NIP

8.    Numer konta

9.    Adres zamieszkania /ulica, numer lokalu, miejscowość/

10. Adres do korespondencji /ulica, numer lokalu, miejscowość/

11. Miejsce pracy /ulica, numer lokalu, miejscowość/