Polityka bezpieczeństwa
Załącznik nr 1 do Zarządzenia Nr 1/2018 z dnia 21.05.2018 POLITYKA BEZPIECZEŃSTWA w Livinia Magdalena Talarczyk SPIS TREŚCI 1. ROZDZIAŁ I Postanowienia ogólne 2. ROZDZIAŁ II Zasady przetwarzania danych osobowych. Powierzenie. Udostępnianie. Zabezpieczenia. Odpowiedzialność. Obowiązek informacyjny 3. ROZDZIAŁ III Administrator Bezpieczeństwa Informacji 4. ROZDZIAŁ IV Ogólne warunki korzystania z systemu informatycznego 6. ROZDZIAŁ V Poczta elektroniczna. Internet. 7. ROZDZIAŁ VI Postępowanie na wypadek zagrożenia bezpieczeństwa danych osobowych 8. ROZDZIAŁ VII Postanowienia końcowe 9. ZAŁĄCZNIKI Nr 1 Wykaz pomieszczeń, w których przetwarzane są dane osobowe (obszar) Nr 2 Rejestr zbiorów danych osobowych Nr 2a Wykaz, programy oraz struktura zbiorów danych osobowych Nr 3 Upoważnienie do przetwarzania danych osobowych Nr 4 Oświadczenie o zachowaniu poufności Nr 5 Upoważnienie dla ABI Nr 6 Wykaz osób upoważnionych do przetwarzania danych osobowych Nr 7 Wykaz udostępnień danych osobowych innym podmiotom Nr 8 Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych Nr 9 Wykaz udostępnień danych osobowych osobom, których dane dotyczą Nr 10 Dziennik uchybień Nr 11 Protokół uchybienia Nr 12 Protokół zagrożenia Nr 13 Umowa powierzenia przetwarzania danych osobowych ROZDZIAŁ I – POSTANOWIENIA OGÓLNE § 1 Podstawy prawne 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 z późn. zm.) 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.) 3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014, poz. 1934 z późn. zm.) 4. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie przez administratora bezpieczeństwa informacji (Dz.U. z 2015 roku, poz. 745 z późn. zm.) 5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. 2015, poz. 719 z późn. zm.) 6. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 z roku, poz. 113 z późn. zm.) 7. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) § 2 1. Polityka Bezpieczeństwa jest wewnętrznym dokumentem regulującym zasady przetwarzania i ochrony danych osobowych w LIVINIA Magdalena Talarczyk 2. Ilekroć w niniejszym dokumencie będzie mowa o LIVINIA, należy przez to rozumieć LIVINIA Magdalena Talarczyk z siedzibą: ul. Źródlana 8/23, 62-030 Luboń. § 3 Słownik pojęć stosowanych w niniejszej Polityce Bezpieczeństwa: 1. Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. Administratorem Danych Osobowych jest Magdalena Talarczyk – właściciel. 2. Administrator Bezpieczeństwa Informacji (ABI) - osoba fizyczna powołana przez Administratora Danych Osobowych, zajmująca się zapewnianiem przestrzegania przepisów o ochronie danych osobowych oraz prowadzeniem rejestru zbiorów danych przetwarzanych przez administratora danych 3. Baza danych osobowych – zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci wewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze – rekordów lub obiektów, w których są zapisywane dane osobowe 4. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne 5. Działanie korygujące - działanie przeprowadzane w celu wyeliminowania przyczyny wykrytej niezgodności / incydentu lub innej niepożądanej sytuacji. 6. Działanie zapobiegawcze - działanie, które należy przedsięwziąć, aby wyeliminować przyczyny potencjalnej niezgodności / incydentu lub innej potencjalnej sytuacji niepożądanej. 7. GIODO – Generalny Inspektor Ochrony Danych Osobowych 8. Hasło – ciąg znaków literowych, cyfrowych lub innych, uwierzytelniający osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym 9. Identyfikator Użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym 10. Incydent - pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji lub zmniejszeniem poziomu usług systemowych, które stwarzają znaczne prawdopodobieństwo zakłócenia działania systemu informatycznego i zagrażają bezpieczeństwu informacji; naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność 11. Korekcja - działanie w celu wyeliminowania wykrytej niezgodności lub incydentu. 12. Kontrola (Audyt) - systematyczny, niezależny i udokumentowany proces oceny skuteczności systemu ochrony danych osobowych, na podstawie określonych kryteriów, wymagań polityk i procedur 13. Niezgodność - niespełnienie wymagania, czyli potrzeby lub oczekiwania, które zostało ustalone, przyjęte zwyczajowo lub jest obowiązkowe 14. Nośniki danych – dyskietki, płyty CD lub DVD, pamięć Flash, dyski twarde, taśmy magnetyczne lub inne urządzenia/materiały służące do przechowywania plików z danymi 15. Odbiorca danych – każdy, komu udostępniane są dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą b) osoby upoważnionej do przetwarzania danych osobowych c) przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych d) podmiotu, o którym mowa art. 31 ustawy o ochronie danych osobowych e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem 16. Podatność - luka (słabość), która może być wykorzystana przez co najmniej jedno zagrożenie, rozumiane jako potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę 17. Polityka Bezpieczeństwa (PB) – dokument o nazwie Polityka Bezpieczeństwa LIVINIA Magdalena Talarczyk 18. Pracownik – osoba fizyczna: a) świadcząca pracę na podstawie stosunku pracy, powołania, mianowania lub stosunku cywilnoprawnego b) wykonująca zadania wyłącznie osobiście, w ramach prowadzonej działalności gospodarczej, powierzone jej na podstawie umowy cywilnoprawnej c) współpracująca w rozumieniu ustawy z dnia 13 października 1998 roku o systemie ubezpieczeń społecznych (Dz.U. 2016, poz. 963 z późn. zm.) 19. Profilowanie – automatyczny proces przetwarzania danych osobowych, dopuszczalny pod warunkiem spełnienia przesłanek określonych przepisami prawa 20. Przetwarzane danych – wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych 21. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE 22. Rozporządzenie – rozporządzenia wymienione w § 1 pkt. 2-6 niniejszego dokumentu 23. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych 24. System tradycyjny - zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze 25. Serwisant – firma lub pracownik firmy zajmujący się instalacją, naprawą oraz konserwacją sprzętu komputerowego 26. Sieć publiczna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych 27. Słabość systemu - zdarzenie, stan rzeczy zwiększający ryzyko wystąpienia incydentu 28. Teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej 29. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. 2016 r. poz. 922 z późn. zm.) 30. Usuwanie danych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą 31. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu 32. Użytkownik - osoba upoważniona, która otrzymała uprawnienia do przetwarzania danych w systemie informatycznym. Użytkownik posiada indywidualny identyfikator oraz hasło do systemu 33. Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem 34. Zagrożenie - potencjalna możliwość wystąpienia incydentu 35. Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie 36. Zdarzenie - błąd zabezpieczenia lub nieznana dotychczas sytuacja, która może być związana z zagrożeniem bezpieczeństwa danych osobowych § 4 Polityka Bezpieczeństwa określa: a) granice dopuszczalnego zachowania Użytkowników systemu informatycznego oraz wskazuje konsekwencje w stosunku do osób naruszających przepisy ustawy o ochronie danych osobowych b) prawa i obowiązki Użytkowników systemu informatycznego w zakresie bezpieczeństwa informacji, w tym ochrony danych osobowych przetwarzanych w tym systemie c) sposób przetwarzania danych osobowych oraz środki organizacyjne i techniczne zapewniające ochronę tych danych d) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych a) wymagania w zakresie odnotowywania udostępniania i bezpieczeństwa przetwarzania danych osobowych b) instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych c) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe d) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych e) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi f) sposób przepływu informacji pomiędzy poszczególnymi systemami g) środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić: a) poufność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobom b) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany c) rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie d) integralność systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji zamierzonej, jak i przypadkowej e) dostępność informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne f) zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informatycznych służących do przetwarzania danych osobowych Niniejsza Polityka Bezpieczeństwa została wprowadzona Zarządzeniem nr 1 z 20.05.2018 oraz udostępniona wszystkim Użytkownikom systemu oraz pozostałym pracownikom posiadającym dostęp do przetwarzanych danych osobowych Każda osoba, mająca dostęp do danych osobowych jest zobowiązana do zapoznania się z niniejszym dokumentem oraz potwierdzenia tego faktu poprzez złożenie pisemnego oświadczenia włączanego do akt osobowych. Wzór oświadczenia stanowi załącznik nr 3 do Zarządzenia. RODZIAŁ II – ZASADY PRZETWARZANIA DANYCH OSOBOWYCH. POWIERZENIE. UDOSTĘPNIANIE. ODPOWIEDZIALNOŚĆ. ZABEZPIECZENIA. OBOWIĄZEK INFORMACYJNY Zasady ogólne przetwarzania danych osobowych § 5 1. Dane osobowe mogą być wykorzystywane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. LIVINIA może zbierać i przetwarzać jedynie dane osobowe, które są niezbędne realizacji jej celów i zadań Zakres danych osobowych przetwarzanych przez jednego Użytkownika w systemie informatycznym nie może być szerszy niż powierzony do przetwarzania w związku z wykonywanymi przez niego obowiązkami 3. Po wykorzystaniu, dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą § 6 1. Obszarem przetwarzania danych osobowych są wydzielone pomieszczenia lub części pomieszczeń w siedzibie LIVINIA ul. Źródlana 8/23, 62-030 Luboń. 2. Wymagany przez rozporządzenie wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe stanowi załącznik nr 1 do PB § 7 Wymagany przez rozporządzenie wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposób przepływu danych pomiędzy poszczególnymi systemami, stanowią załącznik nr 2 i 2a do PB. § 8 Wszystkie osoby, które przetwarzają dane osobowe w obszarze wymienionym w § 6, muszą posiadać pisemne upoważnienie do przetwarzania danych nadane przez ADO oraz podpisać oświadczenie o zachowaniu poufności tych danych. Wzór upoważnienia stanowi załącznik nr 3 do PB. Wzór oświadczenia o zachowaniu poufności stanowi załącznik nr 4 do PB. § 9 Upoważnienia do przetwarzania danych osobowych w systemie informatycznym wydawane są zgodnie z właściwą procedurą określoną w niniejszym dokumencie oraz w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w LIVINIA Magdalena Talarczyk Upoważnienia, o których mowa w pkt 1 niniejszego paragrafu, ważne są do dnia odwołania lub do chwili ustania zatrudnienia upoważnionego pracownika. § 10 1. W zbiorach danych gromadzonych w systemie informatycznym zabrania się przetwarzania danych ujawniających: a) stan zdrowia b) pochodzenie rasowe lub etniczne c) poglądy polityczne d) przekonania religijne lub filozoficzne e) przynależność wyznaniową f) przynależność partyjną lub związkową g) dane genetyczne h) dane biometryczne i) nałogi j) preferencje seksualne, chyba że wymagają tego obowiązujące przepisy prawa lub osoba, której dane dotyczą, wyraziła na to pisemną zgodę 2. Dane o skazaniach, w tym dane o niekaralności można przetwarzać wyłącznie pod nadzorem władz publicznych 3. Do profilowania zabrania się używania danych wymienionych w pkt 1 niniejszego paragrafu, chyba, że osoba, której dane dotyczą wyraziła na to zgodę lub jest to podyktowane ważnym interesem publicznym 4. Przy profilowaniu ADO obowiązkowo wdraża środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą 5. O profilowaniu należy informować osobę, której ono dotyczy na etapie zbierania danych, a także na każdy wniosek osoby, której dane dotyczą 6. Każda osoba, której dane dotyczą, ma prawo wyrażenia sprzeciwu na profilowanie przez LIVINIA Magdalena Talarczyk jej danych osobowych, jeżeli uzna, że narusza to jej prawa i wolności § 11 Powierzenie przetwarzania danych osobowych Do przetwarzania powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy LIVINIA Magdalena Talarczyk oraz pracownicy podmiotów (procesorów) świadczących usługi na jego rzecz w związku z realizacją celów i zadań administratora Powierzenie przetwarzania danych osobowych następuje na podstawie umowy powierzenia przetwarzania danych osobowych lub innego aktu (instrumentu) prawnego, zawartej w formie pisemnej lub dopuszczalnej prawem formie elektronicznej w postaci oświadczenia złożonego za pośrednictwem poczty e-mail, określonej opcji internetowej lub zapisanego na elektronicznym nośniku informacji. Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik nr 13 do PB. Zgodnie z art. 31 ustawy oraz art. 28 RODO, umowa powierzenia danych osobowych powinna określać przedmiot i czas trwania przetwarzania, zakres, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa stron umowy (administratora i procesora) Zakres danych osobowych powierzanych powinien być adekwatny do celu powierzenia Administrator danych osobowych zobowiązany jest do dokumentowania powierzania tych danych w postaci wykazu podmiotów, którym powierzono dane osobowe, za każdym razem, gdy takie powierzenie nastąpi (załącznik nr 8 do PB) W przypadku, w którym podmiot określony w umowie powierzenia danych osobowych, w zakresie realizacji swoich usług korzysta z pomocy innych podmiotów (podpowierzenie danych), wymagana jest szczegółowa lub ogólna zgoda LIVINIA Magdalena Talarczyk na przekazanie powierzonych danych, wyrażona w formie pisemnej lub równoważnej jej formie elektronicznej, § 12 Udostępnianie danych osobowych 4. Udostępnienie danych osobowych podmiotowi zewnętrznemu może nastąpić wyłącznie w sytuacji, w której administrator danych udostępniający dane oraz administrator danych pozyskujący dane drogą udostępnienia posiadają odpowiednią podstawę prawną w sprawie ww. czynności Administrator Danych Osobowych może odmówić udostępnienia danych osobowych w sytuacji, w której spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób oraz w sytuacji, w której dane osobowe nie mają istotnego związku ze wskazanymi motywami działania wnioskującego o udostępnienie danych W przypadku konieczności udostępniania dokumentów i danych w nich zawartych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych W przypadku, gdy dane osobowe osoby, od której zostały zebrane, są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy lub są zbędne do realizacji celu, dla którego zostały zebrane, ADO lub osoba przez niego upoważniona jest zobowiązana do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia § 13 Zabezpieczenia danych osobowych W celu zapewnienia należytej ochrony przetwarzania danych osobowych, w LIVINIA Magdalena Talarczyk zastosowano środki zabezpieczające powierzone zbiory danych w postaci zabezpieczeń technicznych i organizacyjnych wymienionych poniżej Zabezpieczenia techniczne Dokumenty zawierające dane osobowe w formie papierowej, upoważnione osoby przechowują w obszarze przetwarzania danych w pomieszczeniach zabezpieczonych drzwiami zamykanymi na klucz w szafach zamykanych na klucz Pomieszczenia, w których przetwarzane są dane osobowe wyposażone są w przeciwwłamaniowy system alarmowy W przypadku konieczności zniszczenia papierowych dokumentów zawierających dane osobowe, ich zniszczenia dokonuje się poprzez pocięcie w niszczarce Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła W przypadku wystąpienia konieczności dostępu do zbioru danych osobowych w czasie nieobecności pracownika upoważnionego do przetwarzania danych w tym zbiorze, ABI może udostępnić ten zbiór innemu pracownikowi w celu dokonania niezbędnych czynności służbowych. Po powrocie nieobecny pracownik otrzymuje nowe indywidualne hasło dostępu. Z każdego zdarzenia opisanego w pkt 5 niniejszego paragrafu ABI sporządza protokół, w którym podaje: imiona i nazwiska osób zastępujących nieobecnego pracownika, numer ewidencyjny komputera, datę oraz przyczyny zdarzenia Dla potrzeb ochrony danych osobowych przetwarzanych w edytorach tekstu (Ms Word), arkuszach kalkulacyjnych (Ms Excel) lub programach równorzędnych (np. Open Office) i innych programach do tworzenia baz danych oraz w systemach informatycznych, np. Płatnik, system bankowości elektronicznej itp. zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie itp. Do ochrony dostępu do sieci komputerowej użyto system Firewall Dostęp do danych osobowych w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora (loginu) Użytkownika oraz hasła, Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. Zabezpieczenia organizacyjne Opracowano i wdrożono Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w LIVINIA Magdalena Talarczyk Nie powołano Administratora Bezpieczeństwa Informacji, który sprawuje nadzór nad przetwarzaniem danych osobowych Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie, o którym mowa w § 8 niniejszego dokumentu oraz, które podpisały oświadczenie o zachowaniu poufności, o którym mowa w § 8 niniejszego dokumentu Prowadzone są wykazy osób i podmiotów opisane w § 17 pkt 3 niniejszego dokumentu Wszystkie osoby wykonujące czynności związane z przetwarzaniem danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych, Wszyscy Użytkownicy systemu informatycznego zostali przeszkoleni w zakresie zabezpieczeń tego systemu LIVINIA Magdalena Talarczyk organizuje pracownikom cykliczne szkolenia wewnętrzne z zakresu ochrony danych osobowych Wszystkie osoby wykonujące czynności związane z przetwarzaniem danych osobowych obowiązane zostały do zachowania ich w tajemnicy, zgodnie z postanowieniami opisanymi w § 8 niniejszego dokumentu Wykonane kopie zapasowe zbiorów danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco § 14 Odpowiedzialność Nieprzestrzeganie zasad ochrony danych osobowych grozi odpowiedzialnością karną wynikającą z rozdziału 8 art. 49 – 54a ustawy o ochronie danych osobowych oraz postanowień RODO Odpowiedzialności karnej podlega każdy pracownik, który: a) przetwarza w zbiorze danych dane osobowe, do których nie jest upoważniony b) przetwarza w zbiorze danych dane, których przetwarzanie jest zabronione c) przetwarza w zbiorze danych dane niezgodne z celem stworzenia tego lub innych zbiorów d) udostępnia lub umożliwia dostęp do danych osobowych osobom nieupoważnionym e) nie zgłasza zbiorów danych podlegających rejestracji f) nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach g) uniemożliwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która po stwierdzeniu naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym fakcie ABI § 15 Obowiązek informacyjny W przypadku zbierania danych osobowych od osoby, której one dotyczą, ADO jest obowiązany poinformować tę osobę o: a) adresie swojej siedziby i pełnej nazwie b) celu i zakresie zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych c) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej i konsekwencjach niepodania danych d) administratorze bezpieczeństwa informacji e) prawnie uzasadnionym interesie administratora, jeżeli na tej podstawie odbywać się będzie przetwarzanie danych f) okresie, przez który dane osobowe będą przechowywane lub o kryteriach tego okresu g) profilowaniu oraz możliwości wyrażenia sprzeciwu wobec profilowania danych przez osobę, której dane dotyczą h) prawach osoby, której dane dotyczą tj. prawie do usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, cofnięcia zgody (gdy osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych). W przypadku pozyskania danych osobowych z innego źródła, niż osoba, której dane dotyczą, ADO jest zobowiązany poinformować tę osobę, oprócz wymienionych w pkt 1 a-h, o: a) źródle danych b) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych Obowiązek poinformowania wymieniony w pkt 1 niniejszego paragrafu powinien być wykonany w momencie zbierania danych z wyjątkiem sytuacji, w której: a) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania b) osoba, której dane dotyczą, posiada już informacje, których udzielenia wymaga art. 24 ust. 1 ustawy. Obowiązek poinformowania wymieniony w pkt 2 niniejszego paragrafu powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie z wyjątkiem sytuacji opisanych w art. 25 ust. 2 ustawy ROZDZIAŁ III – ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI § 17 Administrator Bezpieczeństwa Informacji (ABI) to osoba fizyczna powołana przez Administratora Danych Osobowych, zobowiązana do zastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych tą ochroną ABI jest powoływany drogą pisemnego upoważnienia. Wzór upoważnienia dla ABI stanowi załącznik nr 5 do niniejszego dokumentu. ABI jest również zobowiązany do podpisania oświadczenia o zachowaniu poufności (załącznik nr 4 do niniejszej Polityki) Administrator Danych Osobowych jest zobowiązany do zgłoszenia powołania (lub odwołania) ABI do rejestracji GIODO wyłącznie przy użyciu formularzy zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, których wzory stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 roku (Dz.U. z 2014, poz. 1934) W przypadku niepowołania ABI, funkcje mu przypisane pełni ADO w zakresie zgodnym z obowiązującymi przepisami. § 17 ABI prowadzi wykaz zbiorów danych osobowych przetwarzanych na potrzeby realizacji celów i zadań LIVINIA Magdalena Talarczyk (załącznik nr 2 i 2a do PB) oraz, kiedy jest to wymagane przez przepisy, zgłasza te zbiory do rejestracji do GIODO. W ramach nadzoru nad przetwarzaniem danych, sprawdza w szczególności: a) cele b) zakres przetwarzania c) czas przetwarzania d) sposoby zabezpieczenia danych osobowych ABI jest również zobowiązany do przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych w systemie informatycznym Ponadto ABI prowadzi następujące wykazy: a) wykaz osób, którym nadano upoważnienia do przetwarzania danych osobowych (załącznik nr 6 do PB) b) wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowiących obszar przetwarzania (załącznik nr 1 do PB) c) wykaz podmiotów i osób, którym udostępniono dane (załączniki nr 7 i nr 9 do PB) d) wykaz podmiotów, którym powierzono dane osobowe do przetwarzania (załącznik nr 8 do PB) ROZDZIAŁ IV – OGÓLNE WARUNKI KORZYSTANIA Z SYSTEMU INFORMATYCZNEGO § 18 Korzystanie z funkcjonalności systemu informatycznego jest możliwe pod warunkiem złożenia do ABI wniosku o nadanie/zmianę/wycofanie dostępu dla osoby uprawnionej. Po weryfikacji wniosku przez ABI, Użytkownikowi zostaje wydane upoważnienie do przetwarzania danych osobowych w zbiorach administrowanych w systemie informatycznym stosowanym w LIVINIA Magdalena Talarczyk Każdy Użytkownik jest zobowiązany do zapoznania się i zaakceptowania zasad korzystania z systemu informatycznego § 19 Zgodnie z postanowieniami niniejszej Polityki bezpieczeństwa, zabrania się Użytkownikowi systemu podejmowania jakichkolwiek czynności mających na celu naruszenie bezpieczeństwa przetwarzanych danych, w tym prób przełamania zabezpieczeń systemu W celu zapobieżenia nieautoryzowanemu dostępowi do systemu informatycznego Użytkownik nie może przechowywać danych służących do logowania do systemu w miejscach dostępnych dla innych osób oraz ujawniać danych służących do logowania innym osobom Zabronione jest korzystanie z systemu informatycznego z użyciem danych dostępowych innego Użytkownika. Użytkownicy są zobowiązani do ustawienia ekranów monitorów w taki sposób, aby uniemożliwić osobom postronnym wgląd lub spisanie informacji aktualnie wyświetlanej na ekranie monitora. Użytkownik zobowiązany jest do przestrzegania zasady czystego biurka, w szczególności przed opuszczeniem swego stanowiska pracy, Użytkownik powinien schować wszelkie dokumenty związane z używanym systemem oraz informatyczne nośniki danych (dyskietki, płyty CD, DVD, BD, pendrive itp.). § 20 Szczegółowe procedury korzystania oraz zasady konfiguracji sprzętu komputerowego Użytkownika systemu informatycznego reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w LIVINIA Magdalena Talarczyk ROZDZIAŁ V - POCZTA ELEKTRONICZNA, INTERNET § 21 W systemie informatycznym wykorzystano funkcjonalność wysyłania powiadomień na adres e-mail podany w systemie. Użytkownik zobowiązany jest do dbania o bezpieczeństwo konta mailowego, o którym mowa powyżej, w szczególności do: a) używania silnego hasła dostępu b) nieotwierania załączników do poczty i linków pochodzących z nieznanych źródeł c) zachowania ostrożności podczas otwierania nieoczekiwanych załączników w korespondencji pochodzącej od znanych nadawców Użytkownik zobowiązany jest do korzystania z sieci Internet w sposób, który nie zagraża bezpieczeństwu danych gromadzonych i przetwarzanych w systemie. ROZDZIAŁ VI – POSTĘPOWANIE NA WYPADEK ZAGROŻENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH § 22 Do typowych zagrożeń bezpieczeństwa danych osobowych należą: a) próby naruszenia ochrony danych: - z zewnątrz - włamania do systemu, podsłuch, kradzież danych - z wewnątrz - nieumyślna lub celowa modyfikacja danych, kradzież danych b) programy destrukcyjne: wirusy, konie trojańskie, makra, bomby logiczne c) awarie sprzętu lub uszkodzenie oprogramowania d) zabór sprzętu lub nośników z ważnymi danymi e) inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych f) usiłowanie zakłócenia działania systemu informatycznego Do typowych incydentów bezpieczeństwa danych osobowych należą: a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów, b) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek) d) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności) e) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/zagubienie danych) f) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania). Do typowych źródeł informacji o incydentach, zagrożeniach lub słabościach systemu zalicza się: a) zgłoszenia od Użytkowników b) alarmy z systemów informatycznych c) analizy incydentów d) wyniki audytów / kontroli § 24 Każdy pracownik LIVINIA Magdalena Talarczyk w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować Administratora Bezpieczeństwa Informacji. Zasady działania w takich przypadkach określa tabela nr 1 Tabela nr 1. Zasady działania w przypadku zagrożenia lub naruszenia ochrony danych osobowych Kod uchybienia lub zagrożenia Uchybienie i zagrożenie nieświadome wewnętrzne i zewnętrzne Postępowanie w przypadku uchybienia lub zagrożenia 1 Pomieszczenie, w którym przechowywane są dane osobowe pozostaje bez nadzoru Należy zabezpieczyć dane osobowe oraz powiadomić ABI, który sporządza Protokół uchybienia 2 Komputer nie jest zabezpieczony hasłem Należy zabezpieczyć dane osobowe oraz powiadomić ABI, który sporządza Protokół uchybienia 3 Dostęp do danych mają osoby nieupoważnione Należy uniemożliwić dostęp osób bez upoważnienia oraz powiadomić ABI, który sporządza Protokół uchybienia 4 Nieuprawniony dostęp do otwartych aplikacji w systemie informatycznym Należy powiadomić ABI, który powinien sprawdzić system uwierzytelniania oraz sprawdzić, czy nie doszło do kradzieży lub zniszczenia danych. ABI sporządza Protokół uchybienia 5 Próba kradzieży danych osobowych poprzez zewnętrzny nośnik danych Należy nie dopuścić do kradzieży danych i powiadomić ABI. ABI powinien zabezpieczyć nośnik danych i powiadomić Beneficjenta. ABI sporządza Protokół zagrożenia. 6 Próba kradzieży danych osobowych w formie papierowej Należy nie dopuścić do kradzieży danych osobowych i powiadomić ABI. ABI powinien zabezpieczyć dane i powiadomić ADO. ABI sporządza Protokół zagrożenia 7 Nieuprawniony dostęp do danych osobowych w formie papierowej Należy uniemożliwić dostęp osób bez upoważnienia oraz powiadomić ABI, który sporządza Protokół uchybienia 8 Dane osobowe przechowywane są w niezabezpieczonym pomieszczeniu Należy powiadomić ABI, który powinien zabezpieczyć pomieszczenie i sporządzić Protokół uchybienia 9 Próba włamania do pomieszczenia/budynku Należy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i wzywa policję. ABI sporządza protokół zagrożenia. 10 Działanie zewnętrznych aplikacji, wirusów, złośliwego oprogramowania Należy zrobić audyt systemów zabezpieczeń, a w szczególności systemów antywirusowych o firewall. ABI powinien ocenić, czy nie doszło do utraty danych osobowych i w zależności od tego sporządzić protokół uchybienia lub zagrożenia 11 Brak aktywnego oprogramowania antywirusowego Należy powiadomić ABI. ABI powinien zaktualizować lub nabyć oprogramowanie antywirusowe. ABI sporządza Protokół uchybienia 12 Zniszczenie lub modyfikacja danych osobowych w formie papierowej Należy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i powiadamia ADO. ABI sporządza protokół zagrożenia 13 Zniszczenie lub modyfikacja danych osobowych w systemie informatycznym Należy zabezpieczyć dowody i powiadomić ABI. ABI sprawdza stan uszkodzeń, zabezpiecza dowody i powiadamia ADO. ABI sporządza Protokół zagrożenia 14 Uszkodzenie komputerów, nośników danych Należy powiadomić ABI, który powinien ocenić w wyniku czego doszło do zniszczenia i przywrócić dane z kopii zapasowej. ABI powiadamia ADO i sporządza Protokół zagrożenia 15 Próba nieprawidłowej interwencji przy sprzęcie komputerowym Należy uniemożliwić dostęp osób do sprzętu komputerowego oraz powiadomić ABI, który sporządza Protokół uchybienia 16 Zdarzenia losowe Należy oszacować powstałe straty i sporządzić Protokół zagrożenia lub uchybienia § 24 W przypadku stwierdzenia wystąpienia zagrożenia, ABI prowadzi postępowanie wyjaśniające, w toku którego: a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki b) inicjuje ewentualne działania dyscyplinarne c) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości d) dokumentuje prowadzone postępowania § 25 W przypadku stwierdzenia incydentu (naruszenia) ABI prowadzi postępowanie wyjaśniające, w toku którego: a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały i zabezpiecza ewentualne dowody oraz podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody) b) ustala osoby odpowiedzialne za naruszenie c) inicjuje działania dyscyplinarne, wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości d) dokumentuje prowadzone postępowania § 26 ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa, zagrożeń lub słabości systemu ochrony danych osobowych. Gdy stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa źródło powstania incydentu / zagrożenia lub słabości, zakres działań korygujących lub zapobiegawczych, termin realizacji oraz osobę odpowiedzialną § 27 ABI jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych. Po przeprowadzeniu działań korygujących lub zapobiegawczych, jest zobowiązany do oceny efektywności ich zastosowania i prowadzenia stosownej dokumentacji § 28 Integralną częścią Polityki Bezpieczeństwa są nw. dokumenty prowadzone przez ABI w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych: a) Dziennik uchybień i zagrożeń – załącznik nr 10 do niniejszej Polityki b) Protokół uchybienia – załącznik nr 11 do niniejszej Polityki c) Protokół zagrożenia – załącznik nr 12 do niniejszej Polityki ROZDZIAŁ VII – POSTANOWIENIA KOŃCOWE § 29 W sprawach nieuregulowanych niniejszym dokumentem, znajdują zastosowanie przepisy ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych § 30 Niniejszy dokument wchodzi w życie z dniem 21.05.2018 …………………………………..………… (Administrator Danych Osobowych)