Polityka bezpieczeństwa przetwarzania danych osobowych

Zasady przetwarzania danych osobowych w systemach informatycznych

Deklaracja

Cybernetyka Sp. z o.o. dołoży wszelkich starań oraz zapewni odpowiednie środki techniczne i organizacyjno-finansowe, aby wdrożyć i utrzymać na wysokim poziomie mechanizmy zabezpieczające dane osobowe i systemy informatyczne je przetwarzające. Zamierzony, wysoki poziom ochrony danych osobowych zostanie osiągnięty nie tylko poprzez dostosowanie działań do wymagań zawartych w obowiązujących przepisach prawa, ale również poprzez dobre praktyki, oraz ciągły nadzór nad funkcjonowaniem niniejszych Zasad.

Cel

Celem niniejszych Zasad jest:

1) ustanowienie ogólnych zasad bezpiecznego przetwarzania danych osobowych;

2) zapewnienie skutecznej ochrony danych osobowych;

3) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa;

4) upowszechnienie wśród pracowników ustanowionych zasad bezpiecznego przetwarzania danych osobowych;

5) określenie odpowiedzialności za nieprzestrzeganie zasad bezpiecznego przetwarzania danych osobowych.

Zakres

Zasady mają zastosowanie w stosunku do:

1) wszystkich danych osobowych przetwarzanych bez względu na sposób przetwarzania, w szczególności przetwarzanych w systemach informatycznych, w formie papierowej oraz na wszelkich innych nośnikach informacji;

2) informacji dotyczących bezpieczeństwa i ochrony danych osobowych, zabezpieczenia fizycznego dostępu do danych osobowych;

3) reguł postępowania w przypadku zaistnienia incydentu bezpieczeństwa.

Definicje

Terminy pisane wielką literą w niniejszym dokumencie mają takie samo znaczenie, jakie nadano im innych wewnętrznych regulacjach urzędu lub w odpowiednich przepisach prawa, chyba że co innego wynika z treści niniejszego dokumentu. Ilekroć w Zasadach jest mowa o następujących terminach:

1) IOD – należy przez to rozumieć osobę powołaną przez Administratora Danych, która zapewnia i nadzoruje przestrzeganie przepisów o ochronie danych osobowych w Cybernetyka Sp. z o.o.;

2) ADO (Administrator Danych) – należy przez to rozumieć Cybernetyka Sp. z o.o.;

3) bezpieczeństwo – należy przez to rozumieć pożądany stan polegający na zachowaniu poufności, integralności, rozliczalności i dostępności danych osobowych;

4) dane osobowe – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;

5) dostępność – należy przez to rozumieć zapewnienie, że dostęp do danych dla upoważnionych osób lub podmiotów jest możliwy w każdym miejscu i czasie;

6) PUODO – należy przez to rozumieć organ do spraw ochrony danych osobowych w ul. Stawki 2, 00-193 Warszawa;

7) incydent bezpieczeństwa – należy przez to rozumieć jakiekolwiek zdarzenie powodujące lub mogące powodować naruszenie poufności, integralności, rozliczalności, dostępności przetwarzanych danych osobowych;

8) integralność – należy przez to rozumieć cechę danych osobowych polegającą na tym, że nie zostały one zmienione lub zniszczone w sposób nieautoryzowany;

9) naruszenie zasad ochrony danych osobowych/bezpieczeństwa – należy przez to rozumieć sytuację, która jest skutkiem niezastosowania obowiązujących u ADO regulacji w zakresie ochrony danych osobowych;

10) poufność – należy przez to rozumieć zapewnienie, że dane osobowe nie są udostępniane nieupoważnionym podmiotom;

11) pracownik – należy przez to rozumieć osobę fizyczną zatrudnioną w ramach stosunku pracy;

12) przetwarzanie danych osobowych – należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, w tym te, które wykonuje się w systemach informatycznych;

13) rozliczalność – należy przez to rozumieć zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

14) system informatyczny – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

15) upoważniony do przetwarzania danych osobowych – należy przez to rozumieć osobę, która została upoważniona do przetwarzania danych osobowych;

16) usuwanie danych – należy przez to rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą;

17) zasady – należy przez to rozumieć niniejszy dokument.

§1Struktura zarządzania bezpieczeństwem danych osobowych

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych, może powołać IOD. Administrator danych osobowych może powołać również zastępców IOD.

3. W przypadku niepowołania IOD administrator danych wykonuje wszystkie ustawowe obowiązki IOD.

4. Administrator danych zobowiązany jest do podjęcia wszelkich działań i środków w celu skutecznego podnoszenia świadomości w zakresie bezpieczeństwa przetwarzania danych osobowych.

§2Zasady przetwarzania danych osobowych

1. Do przetwarzania danych osobowych mogą zostać dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania danych osobowych.

2. Upoważnienia do przetwarzania danych osobowych udziela ADO. Czynność udzielenia upoważnienia może zostać delegowana w drodze pełnomocnictwa.

3. Upoważnienie do przetwarzania danych osobowych zawiera w szczególności:

1) imię i nazwisko osoby upoważnionej,

2) okres nadania i ustania upoważnienia do przetwarzania danych osobowych,

3) zakres upoważnienia,

4) sygnaturę, jeżeli dane przetwarzane są w systemie informatycznym.

4. Upoważniony do przetwarzania danych osobowych musi zostać zapoznany z obowiązującymi regulacjami w zakresie ochrony danych osobowych.

5. Upoważniony do przetwarzania danych osobowych jest obowiązany zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia.

6. Proces wydawania i anulowania upoważnień do przetwarzania danych osobowych może być wspierany przez system informatyczny. W takim przypadku ADO powinien podjąć środki techniczne i organizacyjne w celu zapewnienia, że informacje w systemie będą przetwarzane zgodnie z wymogami przepisów o ochronie danych.

7. Administrator danych prowadzi dokumentację dotyczącą ochrony danych osobowych.

§3Powierzenie przetwarzania danych osobowych

1. Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie.

2. Umowa może stanowić odrębny dokument lub jej treść może stanowić część innej umowy z podmiotem.

3. Umowa powierzenia przetwarzania danych osobowych powinna w szczególności:

1) określać cel i zakres przetwarzania danych;

2) regulować zasady upoważniania do przetwarzania danych osobowych;

3) określać wymagania poziomu bezpieczeństwa przetwarzanych danych osobowych;

4) określać zasady przeprowadzania kontroli podmiotu w zakresie przetwarzania danych osobowych zgodnie z zapisami umownymi oraz przepisami o ochronie danych i rozporządzeniami wykonawczymi;

5) określać zasady informowania i postępowania w sytuacjach naruszeń bezpieczeństwa przetwarzania danych osobowych;

6) określać zasady zwrotu lub niszczenia nośników danych osobowych w przypadku rozwiązania lub wygaśnięcia umowy;

7) określać zasady tworzenia dokumentacji w przypadku, gdy przedmiot umowy dotyczy wdrożenia nowych systemów informatycznych.

§4przetwarzanie danych osobowych w systemach informatycznych

Administrator danych zobowiązany jest do podjęcia środków i działań mających na celu zapewnienie, że dane osobowe w systemach informatycznych są przetwarzane w sposób zapewniający zachowanie poufności, integralności, dostępności i rozliczalności oraz uniemożliwiający wykonanie zmian lub usunięcia danych przez osoby nieuprawnione.

§5Obowiązek informacyjny i zgody na przetwarzanie danych osobowych

1. W zależności, czy zbierane dane osobowe są od osoby, której dotyczą, czy też nie od osoby, której dotyczą, ADO zobowiązany jest do wypełnienia obowiązku informacyjnego zgodnie z przepisami prawa.

2. Wszelkie formularze, druki i umowy powinny zawierać odpowiednie klauzule informacyjne, o których mowa w ust. 1.

3. Zgoda na przetwarzanie danych osobowych nie może być dorozumiana.

§6Postępowanie w przypadku naruszenia i zapobieganie naruszeniom zasad ochrony danych osobowych

1. Administrator danych ewidencjonuje naruszenia obowiązujących u niego zasad ochrony danych osobowych i mające miejsce incydenty bezpieczeństwa oraz przeprowadza analizę tych zdarzeń w celu określenia i podjęcia działań ograniczających ryzyko wystąpienia Administrator danych i incydentów bezpieczeństwa.

2. ADO podejmuje skuteczne działania o charakterze edukacyjnym, których celem jest stałe podnoszenie świadomości w zakresie ochrony i zgodnego z obowiązującym prawem przetwarzania danych osobowych.

3. Każdy pracownik jest zobowiązany do zgłaszania ADO sytuacji mogącej mieć wpływ na bezpieczeństwo przetwarzania danych osobowych.