Polityka bezpieczeństwa przetwarzania danych osobowych w PSInf Adam Gielewski z siedzibą w Bydgoszczy
Rozdział 1
Postanowienia ogólne
§ 1
Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką bezpieczeństwa” w PSInf Adam Gielewski, zwanej dalej „Organizacją”, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.
§ 2
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
– Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
– Ustawie z dnia 24 maja 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/.
§ 3
Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje komputerowe oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§ 4
1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
a) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalność danych – rozumianą jako właściwość zapewniającą, że Administrator danych osobowych przestrzega zasady ochrony danych osobowych wymienionych w art. 5 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/,
d) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
e) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy gdy jest to potrzebne;
f) zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informatycznych służących do przetwarzania danych osobowych.
§ 5
Administratorem danych osobowych przetwarzanych w Organizacji jest PSInf Adam Gielewski.
Rozdział 2
Definicje
§ 6
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
1. Administrator danych osobowych – PSInf Adam Gielewski.,
2. ustawa – ustawa z dnia 24 maja 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz. 1000/,
3. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
4. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
5. zbiór danych osobowych– uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,
6. przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
7. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
8. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
9. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
10. administrator systemu informatycznego – osoba upoważniona przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi lub w przypadku nie wyznaczenia takiej osoby administrator danych osobowych,
11. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
12. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
13. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
14. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
15. rejestr czynności przetwarzania – zbiór informacji o zbiorach danych, ich lokalizacji, celach przetwarzania, kategorii osób, których dotyczą dane, kategorii odbiorców, którym dane osobowe zostały lub mogą zostać ujawnione, planowane terminy usunięcia poszczególnych kategorii danych.
Rozdział 3
Zakres stosowania
§ 7
1. W Organizacji przetwarzane są dane osobowe szczegółowo wymienione w „Rejestrze Czynności Przetwarzania”.
2. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej jak i elektronicznej.
3. Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
4. Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są:
a) Zasady ochrony danych osobowych,
b) Ewidencja osób upoważnionych do przetwarzania danych osobowych,
c) Rejestr czynności przetwarzania danych osobowych.
§ 8
Politykę bezpieczeństwa stosuje się w szczególności do:
1. danych osobowych przetwarzanych w systemach szczegółowo wymienionych w “Rejestrze Czynności Przetwarzania”,
2. odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia,
3. informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych,
4. rejestru osób trzecich mających upoważnienie administratora danych osobowych do przetwarzania danych osobowych,
5. innych dokumentów zawierających dane osobowe.
§ 9
1. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
b) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
c) wszystkich osób trzecich i innych osób mających dostęp do informacji podlegających ochronie.
2. Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz innych z nią związanych dokumentów zobowiązane są
wszystkie osoby trzecie oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.
Rozdział 4
Wykaz zbiorów danych osobowych
§ 10
Dane osobowe gromadzone są w zbiorach szczegółowo wymienionych w “Rejestrze Czynności Przetwarzania”.
§ 11
Zbiory danych osobowych wymienione w § 10 podlegają gromadzeniu i przetwarzaniu w sposób tradycyjny lub przy użyciu systemu informatycznego.
Rozdział 5
Wykaz budynków i pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych
§ 12
1. Dane osobowe przetwarzane są w budynku, mieszczącym się w Bydgoszczy przy ulicy 20 Stycznia 1920 r. 3/1.
2. Zasady ochrony danych osobowych zawierają szczegółowy wykaz pomieszczeń ich zabezpieczeń przed dostępem osób nieupoważnionych.
Rozdział 6
Bezpieczeństwa systemów informatycznych służących przetwarzaniu danych osobowych
§ 13
1. Bezpieczeństwo systemów informatycznych:
a) aplikacji bankowych,
b) aplikacji PROXEA
jest zapewniane poprzez zastosowane w nich zabezpieczenia przed dostępem osób nieupoważnionych.
2. Dane dotyczące:
a) Zbiorów danych osobowych,
b) Struktury zbiorów danych,
c) Sposób przepływu danych między poszczególnymi systemami i współpracy systemów informatycznych ze zbiorami danych
zawarte są w instrukcjach poszczególnych systemów i aplikacji.
Rozdział 7
Zadania administratora systemu informatycznego
§ 14
1. Administrator systemu informatycznego odpowiedzialny jest za:
a) bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
b) optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i serwerowego,
c) instalacje i konfiguracje oprogramowania systemowego, sieciowego,
d) konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
e) nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
f) współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
g) zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
h) zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
i) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
j) wnioskowanie do administratora danych osobowych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
k) zarządzanie licencjami i procedurami ich dotyczącymi,
l) prowadzenie profilaktyki antywirusowej.
2. Praca administratora systemu informatycznego jest nadzorowana pod względem przestrzegania RODO, ustawy o ochronie danych osobowych oraz Polityki bezpieczeństwa przez administratora danych osobowych.
Rozdział 8
Środki organizacyjne i techniczne zabezpieczenia danych osobowych
§ 15
1. Zabezpieczenia organizacyjne
a) opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych,
b) sporządzono i wdrożono Zasady ochrony danych osobowych zawierające informacje dotyczące stosowanych zabezpieczeń w celu ochrony danych osobowych,
c) stosowanie procedury postępowania w sytuacji naruszenia ochrony danych osobowych,
d) opracowano i na bieżąco prowadzi się rejestr czynności przetwarzania,
e) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną,
f) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego,
g) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
h) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,
i) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,
j) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści.
2. Opis zabezpieczeń technicznych i środków ochrony fizycznej wyszczególniono w Zasadach ochrony danych osobowych.
Rozdział 9
Zadania administratora danych osobowych
§ 16
Do najważniejszych obowiązków administratora danych osobowych należy:
1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
3. przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
4. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
5. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
6. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
7. nadzór nad bezpieczeństwem danych osobowych,
8. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
Rozdział 10
Postanowienia końcowe
§ 17
1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
2. Za przeprowadzenie szkolenia odpowiada administrator danych osobowych.
3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką
bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych,
4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych.
Bydgoszcz, dnia 25.05.2018
Załączniki:
1. Rejestr Czynności Przetwarzania,
2. Zasady ochrony danych osobowych,
3. Ewidencja osób upoważnionych do przetwarzania danych osobowych.