Polityka bezpieczeństwa danych osobowych

Polityka bezpieczeństwa danych osobowych w biurze rachunkowym

DEFINICJE

1. IOD (Inspektor Ochrony Danych Osobowych) – osoba fizyczna wyznaczona przez ADO; w przypadku jego niewyznaczenia obowiązki IOD wykonuje ADO.

2. ADO (Administrator Danych Osobowych) – Anna Kowalska prowadzący działalność gospodarczą pod firmą "Rachunkowość Kowalska" z siedzibą w ul. Kwiatowa 12, 00-001 Warszawa.

3. Bezpośredni przełożony – przełożony Pracownika lub Pracownik odpowiadający za nadzór nad Osobą współpracującą; w przypadku braku wyznaczenia przełożonego za Bezpośredniego przełożonego danej osoby uznaje się ADO.

4. Dane – wszystko, co jest lub może być przetwarzane komputerowo, w tym Dane osobowe.

5. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej, lub możliwej do zidentyfikowania osoby fizycznej; przy czym osoba możliwa do zidentyfikowania, to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na PESEL lub jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

6. Dostępność – właściwość Danych polegająca na tym, że upoważnione osoby mogą z nich skorzystać w uzgodnionym miejscu i czasie.

7. Elektroniczny nośnik danych – np. dysk twardy, pamięć flash (pendrive), płyta CD, DVD, taśma do streamerów, dysk wymienny, itp.

8. PUODO – Prezes Urzędu Ochrony Danych Osobowych.

9. Incydent bezpieczeństwa – jakiekolwiek zdarzenie powodujące lub mogące powodować naruszenie Poufności, Integralności, Dostępności, Rozliczalności Przetwarzanych Danych.

10. Instrukcja – „Instrukcja Zarządzania Systemem Informatycznym” wdrożona u ADO.

11. Integralność – cecha Danych polegająca na tym, że nie zostały one zmienione lub zniszczone w sposób nieautoryzowany.

12. Kopie zapasowe – kopie bezpieczeństwa Danych oraz programów i narzędzi programowych służących do ich przetwarzania, pozwalające na odtworzenie Danych i przywrócenie sprawności działania Systemu informatycznego w razie awarii lub utraty Integralności Danych.

13. Obszar Przetwarzania Danych osobowych – budynki, pomieszczenia lub części pomieszczeń ADO, w których są przetwarzane Dane osobowe, zarówno w formie papierowej, jak i w Systemie informatycznym.

14. Osoba współpracująca – osoba fizyczna wykonująca pracę na rzecz ADO, na podstawie innej umowy niż umowa o pracę z ADO lub innego dokumentu będącego podstawą współpracy ADO z Osobą współpracującą. W szczególności Osobami współpracującymi są księgowy, radca prawny, informatyk, lub pracownik innego podmiotu, która realizuje zadania na rzecz ADO, na podstawie odrębnej umowy. Wszystkie zapisy niniejszej Polityki odnoszące się do Pracownika odnoszą się odpowiednio do Osoby współpracującej (chyba że dokonano wyraźnego wyłączenia).

15. Poufność – właściwość Danych polegająca na ograniczeniu dostępu do tych Danych tylko dla upoważnionych osób.

16. Pracownik – osoba fizyczna zatrudniona w ADO na podstawie umowy o pracę, powołania, wyboru lub mianowania.

17. Przetwarzanie Danych osobowych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w Systemach informatycznych.

18. Rozliczalność – właściwość Systemu informatycznego, która w połączeniu z zasadą przydzielania indywidualnego konta dla każdego Użytkownika Systemu informatycznego zapewnia, że operacje wykonywane w Systemie informatycznym przez konkretną osobę mogą być w sposób jednoznaczny rozpoznane jako wykonane przez tą osobę.

19. Sieć publiczna – łącza, które nie są dedykowane do obsługi transmisji Danych dla ADO (np. Internet).

20. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu Przetwarzania Danych osobowych;

21. Szczegółowe instrukcje operacyjne – instrukcje i procedury określające pracę poszczególnych Systemów informatycznych, a w szczególności instrukcje utrzymaniowe, administracyjne i konfiguracyjne.

22. Upoważniony do Przetwarzania Danych osobowych – osoba, która została upoważniona do Przetwarzania Danych osobowych.

23. Usuwanie Danych osobowych – zniszczenie Danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą.

24. Użytkownik – osoba posiadająca dostęp do Systemu informatycznego (konto Użytkownika w Systemie Informatycznym).

§1 CEL I PRZEDMIOT POLITYKI

1. Celem Polityki jest ustanowienie zasad i reguł postępowania niezbędnych do ochrony Danych osobowych, przetwarzanych przez ADO.

2. Polityka określa zasady bezpieczeństwa w procesie Przetwarzania Danych osobowych, reguluje sposób zarządzania tymi Danymi, a także ich ochrony i dystrybucji wewnątrz ADO i w kontaktach z otoczeniem zewnętrznym. Polityka stanowi dokument odnoszący się całościowo do problemu zabezpieczenia Danych osobowych u ADO.

3. Niniejsza Polityka ma zastosowanie zarówno w stosunku do struktury organizacyjnej ADO, jak i wszelkich innych, tymczasowych organizacji np.: projektowych zespołów zadaniowych, itd.

§2 ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH

1. Polityka ma zastosowanie w stosunku do:

    a) Danych osobowych przetwarzanych w Systemach informatycznych, w formie papierowej oraz znajdujących się na wszelkich Elektronicznych nośnikach danych,

    b) Danych osobowych przetwarzanych w Zbiorach Danych osobowych, zestawach oraz pojedynczych informacjach osobowych,

    c) informacji o stosownych metodach zabezpieczenia Zbiorów Danych osobowych i Systemów informatycznych, w których Przetwarzane są Dane osobowe.

2. W ramach prowadzonej przez siebie działalności ADO przetwarza Dane osobowe:

    a) dla których wyznacza cel przetwarzania i jest tym samym ADO;

    b) na podstawie umów powierzenia Przetwarzania Danych osobowych, dla których nie jest ADO.

§3 ZARZĄDZANIE PRZETWARZANIEM DANYCH OSOBOWYCH ORAZ ICH BEZPIECZEŃSTWEM

1. ADO jest odpowiedzialny za zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych Danych osobowych, odpowiednich do zagrożeń oraz kategorii Danych objętych ochroną, a w szczególności powinien zabezpieczyć Dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. ADO jest odpowiedzialny w szczególności za:

    a) określenie i wprowadzenie zasad ochrony Danych osobowych u ADO;

    b) wyznaczenie IOD oraz jego zastępców, jeżeli zaistnieje taka potrzeba;

    c) wydawanie, anulowanie i podpisywanie upoważnień do Przetwarzania Danych osobowych.

3. IOD (a ADO w przypadku gdy nie został powołany IOD):

    a) sprawdza zgodność Przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych;

    b) odpowiada za organizację procesu zapoznania osób Upoważnionych do Przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych;

    c) prowadzi ewidencję osób upoważnionych do Przetwarzania Danych osobowych;

    d) podejmuje działania w sytuacji naruszenia ochrony Danych osobowych, zidentyfikowanych jako Incydenty bezpieczeństwa;

    e) przygotowuje i przekazuje zalecenia w zakresie podwyższenia wymagań odnośnie bezpieczeństwa Danych osobowych;

    f) zachowuje w tajemnicy przetwarzane Dane osobowe oraz informacje o ich zabezpieczeniu, a także przestrzega procedur ich bezpiecznego przetwarzania.

4. Upoważniony do Przetwarzania Danych osobowych:

    a) zapoznaje się z obowiązującymi w ADO zasadami ochrony Danych osobowych;

    b) bierze udział w okresowych szkoleniach z ochrony Danych osobowych;

    c) stosuje obowiązujące u ADO zasady ochrony Danych osobowych;

    d) przetwarza Dane osobowe w zakresie zgodnym ze swoim zakresem obowiązków;

    e) zachowuje w tajemnicy przetwarzane Dane osobowe oraz informacje o ich zabezpieczeniu, a także przestrzega procedur ich bezpiecznego przetwarzania; niniejszy obowiązek jest nieograniczony w czasie tzn. dotyczy całego okresu zatrudnienia, a także czasu po ustaniu stosunku pracy lub innego stosunku prawnego łączącego go z ADO;

    f) zobowiązany jest do dołożenia należytej staranności, aby przetwarzane przez niego Dane osobowe nie były narażone na utratę, nieuprawnioną modyfikację lub nieuprawniony dostęp.

5. Bezpośredni przełożony osoby Upoważnionej do Przetwarzania Danych osobowych:

    a) stosuje obowiązujące u ADO zasady ochrony Danych osobowych;

    b) odpowiada za podpisanie przez podległych, nowo zatrudnionych Pracowników oświadczeń o znajomości zasad ochrony Danych osobowych oraz zachowaniu Danych osobowych i sposobów ich zabezpieczenia w tajemnicy;

    c) odpowiada za ukończenie przez podległych Pracowników okresowego szkolenia z przepisów o ochronie Danych osobowych;

    d) niezwłocznie po ustaniu potrzeby Przetwarzania Danych osobowych (ustanie zatrudnienia, zmiana stanowiska pracy, zmiana zakresu obowiązków itp.) przez Upoważnionego do Przetwarzania Danych osobowych składa do ADO wniosek o anulowanie upoważnienia.

§4 ZAPOZNAWANIE PRACOWNIKÓW Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

1. Wszyscy Pracownicy zobowiązani są do zapoznania się z obowiązującymi u ADO przepisami o ochronie Danych osobowych.

2. IOD a w jego braku ADO odpowiedzialny jest za udostępnienie Pracownikom obowiązujących u ADO przepisów o ochronie Danych osobowych.

3. ADO przygotowuje okresowe szkolenie z przepisów o ochronie Danych osobowych, które może być prowadzone w systemie e-learningu.

4. Wszyscy Pracownicy zobowiązani są do odbycia szkolenia z przepisów o ochronie Danych osobowych.

5. Każdy Pracownik zobowiązany jest do odbycia okresowego szkolenia z przepisów o ochronie Danych osobowych raz na rok.

6. Potwierdzeniem odbycia przez Pracownika szkolenia z przepisów o ochronie Danych osobowych jest zaliczenie przez niego testu końcowego.

7. Za ukończenie szkolenia z przepisów o ochronie Danych osobowych przez podległych Pracowników odpowiada ich Bezpośredni przełożony.

8. Bezpośredni przełożony kontroluje, czy podwładni Pracownicy ukończyli obligatoryjne szkolenie z przepisów o ochronie Danych osobowych.

§5 UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

1. Do Przetwarzania Danych osobowych w papierowych Zbiorach Danych osobowych i w Systemach informatycznych mogą być dopuszczeni wyłącznie Upoważnieni do Przetwarzania Danych osobowych.

2. Upoważnienie do Przetwarzania Danych osobowych, którego wzór stanowi Załącznik nr 1 do Polityki, nadaje, anuluje i podpisuje ADO. Upoważnienie może otrzymać osoba, która została przeszkolona z przepisów o ochronie Danych osobowych i podpisała oświadczenie według wzoru stanowiącego Załącznik nr 2 do Polityki oraz oświadczenie o znajomości zasad ochrony Danych osobowych oraz zachowaniu Danych osobowych i sposobów ich zabezpieczeń w tajemnicy, którego wzór stanowi Załącznik nr 3 do Polityki.

3. Nadawanie i odbieranie upoważnień do Przetwarzania Danych osobowych odbywa się w szczególności na wniosek Pracownika lub Bezpośredniego przełożonego.

§6 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Powierzenie Przetwarzania Danych osobowych odbywa się poprzez zawarcie na piśmie umowy pomiędzy ADO, a danym podmiotem, któremu zleca się czynności związane z Przetwarzaniem Danych osobowych.

2. Wzór umowy powierzenia Przetwarzania Danych osobowych innemu podmiotowi stanowi Załącznik nr 4 do Polityki.

3. W sytuacji powierzenia Przetwarzania Danych osobowych innemu podmiotowi, w umowie określa się cel Przetwarzania Danych osobowych i zakres powierzonych Danych osobowych oraz wymagania, co do poziomu bezpieczeństwa Przetwarzania Danych osobowych.

4. Dopuszcza się, aby zapisy dotyczące powierzenia Przetwarzania Danych osobowych zostały włączone do treści umowy, której przedmiotem są czynności związane z Przetwarzaniem Danych osobowych.

§7 PRZETWARZANIE DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH

1. Zasady zarządzania Systemem informatycznym służącym do Przetwarzania Danych osobowych określa Instrukcja.

2. Zasady zarządzania poszczególnymi Systemami informatycznymi mogą regulować Szczegółowe instrukcje operacyjne, które określają w szczególności:

    a) sposób administracji i obsługę zmian w Systemie informatycznym;

    b) sposób przepływu Danych osobowych pomiędzy poszczególnymi Systemami informatycznymi;

3. System informatyczny służący do Przetwarzania Danych osobowych wyposażony jest w mechanizmy uwierzytelnienia Użytkownika oraz kontroli dostępu do tych Danych osobowych.

4. Dla każdej osoby, której Dane osobowe są przetwarzane w Systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego, w powszechnie zrozumiałej formie, treść Danych osobowych oraz informacje, o których mowa w zdaniu poprzednim.

5. Użytkownikami Systemów informatycznych, w których Przetwarzane są Dane osobowe mogą być tylko Upoważnieni do Przetwarzania Danych osobowych.

6. Login Użytkownika, który utracił uprawnienia dostępu do Danych osobowych, należy niezwłocznie zablokować, oraz podjąć stosowne działania w celu zapobieżenia dalszemu dostępowi tego Użytkownika do Danych osobowych.

§8 ŚRODKI TECHNICZNE NIEZBĘDNE DO ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI, ROZLICZALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM

1. Do środków ochrony w zakresie zabezpieczenia sprzętowego zalicza się:

    a) firewall;

    b) zasilanie awaryjne serwerów;

    c) segmentację sieci lokalnej;

    d) system klimatyzacji pomieszczeń, w których znajduje się sprzęt informatyczny;

    e) mechanizm wykonywania Kopii zapasowych.

2. Środkami ochrony w ramach urządzeń teletransmisji są:

    a) filtracja na routerach, wg adresów, protokołów i usług;

    b) dopuszczenie do komunikacji wyłącznie protokołów, które są niezbędne do zachowania założonej funkcjonalności Systemu informatycznego;

    c) zabezpieczenie dostępu do urządzeń aktywnych.

    d) szyfrowanie Danych osobowych przesyłanych przez Sieć publiczną.

3. Środki ochrony w ramach oprogramowania Systemu informatycznego:

    a) Zbiory Danych osobowych oraz programy służące do Przetwarzania Danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie Kopii zapasowych;

    b) w celu ochrony Zbiorów Danych osobowych Przetwarzanych w Systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych Danych osobowych;

    c) System informatyczny pozwala zdefiniować odpowiednie prawa dostępu do zasobów Systemu informatycznego;

    d) W celu zapewnienia Rozliczalności operacji dokonywanych przez Użytkowników Systemu informatycznego, dla każdego Użytkownika rejestrowany jest odrębny login i hasło;

    e) w celu ochrony Systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do Systemu informatycznego stosuje się oprogramowanie antywirusowe z automatyczną aktualizacją;

    f) oprogramowanie antywirusowe jest stale aktywne, a baza definicji wirusów regularnie aktualizowana;

    g) kontrola antywirusowa jest przeprowadzana na wszystkich Elektronicznych nośnikach danych, służących zarówno do Przetwarzania Danych osobowych w Systemie informatycznym, jak i do celów instalacyjnych.

§9 ARCHIWIZACJA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH I ARCHIWUM PAPIEROWYM

1. Archiwizowanie papierowych Zbiorów Danych osobowych odbywa się w oparciu o obowiązujące u ADO w tym zakresie wewnętrzne akty normatywne.

2. Kopie papierowe z Danymi osobowymi muszą być oznaczane i przechowywane w zamykanych na klucz szafach lub sejfach lub wydzielonych pomieszczeniach.

3. Po 5 latach wymaganego przechowywania, dokumenty zawierające Dane osobowe:

    a) muszą być zniszczone w sposób uniemożliwiający ich otworzenie;

    b) mogą być przekazane do zniszczenia firmie "Bezpieczna Archiwizacja" posiadającej uprawnienia i środki techniczne do realizacji tego procesu.

4. Umowa, w której zakresie przedmiotowym jest niszczenie danych osobowych, powinna uzyskać akceptację IOD, jeżeli został powołany.

5. Dokumentacja archiwalna zawierająca Dane osobowe wydawana jest tylko Upoważnionym do Przetwarzania Danych osobowych.

6. Dane osobowe w Systemach informatycznych są archiwizowane poprzez tworzenie Kopii zapasowych.

7. Zasady tworzenia, ewidencjonowania, udostępniania, odzyskiwania i przechowywania Kopii zapasowych baz Danych osobowych określa Instrukcja.

§ 10 ZASADY OCHRONY POMIESZCZEŃ LUB ICH CZĘŚCI, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE

1. Obszarem Przetwarzania Danych osobowych są budynki i pomieszczenia lub ich części, w których mogą być przetwarzane Dane osobowe, określone przez IOD.

2. Przebywanie wewnątrz Obszaru Przetwarzania Danych osobowych przez osoby nieupoważnione do Przetwarzania Danych osobowych jest dopuszczalne tylko w obecności Upoważnionego do Przetwarzania Danych osobowych lub jeżeli osoba nieupoważniona nie będzie miała możliwości Przetwarzania Danych osobowych.

3. Obszary Przetwarzania Danych osobowych, powinny być zamykane podczas nieobecności Upoważnionych do Przetwarzania Danych osobowych, w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.

4. Osoba przetwarzająca Dane osobowe zobowiązana jest po zakończeniu pracy do uprzątnięcia swojego stanowiska pracy i zabezpieczenia wszelkich nośników danych, (dyski, pamięci USB, CD, dokumenty w postaci klasycznej) przed nieuprawnionym dostępem.

5. Sprzątanie pomieszczeń, w których przetwarzane są Dane osobowe może odbywać się wyłącznie po zabezpieczeniu wszelkich nośników przed nieuprawnionym dostępem.

6. Ustawienie sprzętu komputerowego, na którym przetwarzane są Dane osobowe, musi zapewniać ochronę przed nieuprawnionym odczytem danych z ekranu monitora.

7. Wydruk dokumentów zawierających Dane osobowe na drukarkach lub innych urządzeń wielofunkcyjnych, powinien być realizowany w sposób uniemożliwiający przejęcie tych dokumentów lub ich odczytanie przez osoby nieupoważnione.

8. Obszary Przetwarzania Danych osobowych muszą posiadać, co najmniej następujące zabezpieczenia:

    a) drzwi do pomieszczeń, w których Przetwarzane są Dane osobowe powinny być zamykane na klucz lub inny mechanizm uniemożliwiający otwarcie drzwi osobie nieuprawnionej;

    b) dokumenty z Danymi osobowymi powinny być zamykane na klucz w szafach lub sejfach.

9. Pomieszczenia, w których przechowywane są Kopie zapasowe podlegają szczególnej ochronie.

10. Transport Danych osobowych w formie elektronicznej i papierowej pomiędzy Obszarami Przechowywania Danych Osobowych, powinien być prowadzony, w sposób uniemożliwiający odczyt Danych osobowych przez osoby trzecie.

§ 11 MONITOROWANIE OCHRONY ZASOBÓW DANYCH OSOBOWYCH

1. IOD monitoruje realizację Polityki, dokonuje jej przeglądu, ocenia zagrożenia utraty bezpieczeństwa Danych osobowych oraz określa wymagania odnośnie bezpieczeństwa Danych osobowych na podstawie przekazywanych informacji, o których mowa poniżej.

2. Wszyscy Upoważnieni do Przetwarzania Danych osobowych zobowiązani są do informowania IOD o wszelkich zauważonych naruszeniach oraz słabościach systemu Przetwarzania Danych osobowych u ADO.

§ 12 KONTROLA PRZETWARZANIA DANYCH OSOBOWYCH

IOD ma prawo do inicjowania lub przeprowadzania kontroli przestrzegania zasad ochrony Danych osobowych w szczególności, w sytuacji naruszenia lub podejrzenia naruszenia obowiązujących u ADO zasad ochrony Danych osobowych.

§ 13 OBOWIĄZEK INFORMACYJNY

W przypadku zbierania Danych osobowych na formularzach, umowach, drukach (zarówno papierowych jak i elektronicznych) należy umieszczać na nich odpowiednią klauzulę informacyjną.

§ 14 ODPOWIEDZIALNOŚĆ

1. Każdy Pracownik zobowiązany jest do przestrzegania obowiązujących u ADO zasad ochrony Danych osobowych.

2. Każdy Pracownik jest zobowiązany do zgłaszania IOD zdarzeń i okoliczności mających lub mogących mieć wpływ na bezpieczeństwo Przetwarzanych u ADO Danych osobowych.

3. Naruszenie obowiązujących u ADO zasad ochrony Danych osobowych skutkuje zastosowaniem przepisów o odpowiedzialności odszkodowawczej lub porządkowej wynikających z Kodeksu Pracy.

Załączniki:

1. Wzór upoważnienia do przetwarzania danych osobowych;

2. Wzór oświadczenia o przeszkoleniu z zakresu ochrony danych osobowych;

3. Wzór oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia;

4. Wzór umowy powierzenia przetwarzania danych osobowych.